GH GambleHub

Πολιτική κωδικού πρόσβασης και ΜΧΣ

1) Στόχοι και πεδίο εφαρμογής

Στόχος: μείωση του κινδύνου υπονόμευσης των λογαριασμών των εργαζομένων/εταίρων και των παικτών, διασφάλιση της συμμόρφωσης με τα πρότυπα εσωτερικής ασφάλειας και τις κανονιστικές απαιτήσεις.
Κάλυψη: όλοι οι εταιρικοί λογαριασμοί (SSO/IdP), τα διοικητικά συμβούλια, οι κονσόλες πληρωμών και KYC, οι λογαριασμοί υπηρεσιών/bot, καθώς και οι λογαριασμοί χρηστών των παικτών.

2) Βασικές αρχές

Εξ ορισμού ανθεκτικό στο Phishing: FIDO2/WebAuthn ≥ TOTP ≥ Push ≥ SMS/e-mail OTP (το τελευταίο - μόνο ως οπισθοδρόμηση).
Ελάχιστο προνόμιο + JIT: Τα προνόμια χορηγούνται ελάχιστα και προσωρινά, η ΜΧΣ είναι υποχρεωτική κατά την προαγωγή.
Κωδικοί πρόσβασης ως έσχατη λύση: έμφαση στα passphrases και τους διαχειριστές κωδικών πρόσβασης. απαγόρευση «αξέχαστων» σύντομων κωδικών πρόσβασης.
Ασφάλεια εξ ορισμού: Η ΜΧΣ ενεργοποιείται εξ ορισμού. για κρίσιμες δράσεις - εκ νέου αυτόματη.
Παρατήρηση: όλα τα συμβάντα επαλήθευσης ταυτότητας/εφαρμογής/επαναφοράς - σε αρχεία καταγραφής ελέγχου.

3) Κωδικός πρόσβασης/Απαιτήσεις Passphrase

3. 1 Εργαζόμενοι/διοικητικά στελέχη

Μορφότυπος: φράση ≥ 14 χαρακτήρες, επιτρέπονται χώροι. Απαιτήσεις «πολυπλοκότητας» όπως 'A1!' Απαγορεύονται - αντιθέτως, ο έλεγχος διαρροής (τοπικά/μέσω API hash).
Επαναχρησιμοποίηση: απαγόρευση επαναχρησιμοποίησης του τελευταίου 10, απαγόρευση εταιρικού κωδικού πρόσβασης για εξωτερικές υπηρεσίες.
Εναλλαγή: μόνο εάν διακυβεύεται/διατρέχει κίνδυνο. αναγκαστική περιοδική αλλαγή - δεν ισχύει (για την αποφυγή αδύναμων κωδικών πρόσβασης).
Αποθήκευση: μόνο στον εταιρικό διαχειριστή κωδικών πρόσβασης. Απαγόρευση αυτόματων αρχείων/περιηγητών εκτός προφίλ MDM.

3. 2 Παίκτες

Τουλάχιστον 10-12 χαρακτήρες ή γεννήτρια διαβατηρίου. οπτική ένδειξη της δύναμης· δέσμη δημοφιλών λιστών κωδικών πρόσβασης.
Ενεργοποίηση «show password» και «insert from manager». δεν επιβάλλουν μη τυποποιημένους περιορισμούς (emoji/χαρακτήρες - μπορείτε).

4) Αιφνίδια και μυστικά

Αλγόριθμος: Argon2id (μνήμη ≥ 256 MB, επαναλήψεις ≥ 3, παραλληλισμός ≥ 1). Ας είναι νόμιμη η κρυπτογράφηση (κόστος ≥ 12).
Αλάτι: μοναδικά 16 + ψηφιολέξεις ανά εγγραφή. Πιπέρι: Μυστικό συστήματος στο HSM/KMS.
Ενημέρωση: όταν συνδεθείτε, τα νομικά hashes είναι με διαφάνεια «re-hash» στο τρέχον προφίλ.
Πλήκτρα υπηρεσιών/μάρκες API: όχι «κωδικοί πρόσβασης» - διαχειρίζονται μέσω μυστικού διαχειριστή, εναλλαγή σε πρόγραμμα και σε περίπτωση συμβάντων.

5) ΜΧΣ: Παράγοντες και προτεραιότητες

ΣυντελεστήςΑντίσταση ψαρέματοςΠού να υποβάλετε αίτηση
(κλειδιά, TouchID/Windows Hello πλατφόρμα)Υψηλήεργαζόμενοι/διαχειριστές, επιχειρήσεις υψηλού κινδύνου σε παίκτες
TOTP (RFC 6238)μέσος όροςεργαζόμενοι και παίκτες (κύρια εφεδρεία)
Πίεση (επιβεβαίωση στην εφαρμογή)μέσος όροςεργαζόμενοι/παίκτες· να προστατεύεται από την κόπωση των ΜΧΠ (όριο ταχύτητας, αριθμός αγώνων)
SMS/ηλεκτρονικό ταχυδρομείο OTPχαμηλήμόνο ως αποθεματικό για την απώλεια του ιατροτεχνολογικού προϊόντος και για χαμηλό κίνδυνο
Α πρέπει:
  • εφεδρικοί κωδικοί (10 pcs., αναλώσιμο), αποθήκευση εκτός σύνδεσης·
  • Επιβολή της ΜΧΣ: για ενέργειες πρόσβασης και πληρωμής διοικητικών υπηρεσιών χωρίς εξαιρέσεις·
  • Ο αριθμός ταιριάζει στην ώθηση, ένα κλικ συμφωνεί.

6) Πολιτική των συνεδριάσεων και εκ νέου αυτοματοποίηση

Διάρκεια: web 12 h (διαδραστική), κονσόλα admin 8 h, κρίσιμα πάνελ 4 h.
Αδρανοποιημένο timeout: 15- 30 λεπτά για τους χορηγούς.
Εκ νέου αυτοματοποίηση με ΜΧΣ: κατά την πληρωμή/αλλαγή στοιχείων/αλλαγή ηλεκτρονικού ταχυδρομείου/ΜΧΣ/έκδοση σημάτων API.
Συνδετικό μέσο: MDM/καταχωρισμένη συσκευή για εργαζομένους. για τους παίκτες, να θυμούνται έμπιστες συσκευές με βαθμολογία κινδύνου.

7) Προστασία από επιθέσεις εξακρίβωσης της ταυτότητας

Οριακές τιμές ταχύτητας IP/συσκευής/χρήστη, καθυστερήσεις ασφαλείας, ανάλυση συμπεριφοράς, επαλήθευση κωδικού πρόσβασης που διέρρευσε.
Ωμή δύναμη: προοδευτικές καθυστερήσεις/captcha μετά από βλάβες N. μαλακές κλειδαριές (προσωρινές), χωρίς μακρύ κλείδωμα για παίκτες.
Διάδοση κωδικού πρόσβασης: ανίχνευση από ανωμαλίες (πολλοί λογαριασμοί με έναν κωδικό πρόσβασης).
MFA-κόπωση: όριο αιτήματος ώθησης, αριθμός-αντιστοιχία, ειδοποιήσεις χρήστη.
Bot/anti-automation: WebAutn κατά προτίμηση σήματα συμπεριφοράς, TLS-σταθεροποίηση, mTLS για admin panels.

8) Διαδικασίες (SOP)

8. 1 Επιβίβαση των εργαζομένων

1. λογαριασμός SSO μέσω SCIM·

2. έκδοση κλείδας FIDO2 (τουλάχιστον 2: κύρια + επιφυλακή) και TOTP·

3. Εγκατάσταση ενός διαχειριστή κωδικού πρόσβασης

4. απόδειξη εκπαίδευσης (phishing, MFA).

8. 2 Απώλεια συσκευής/επαναφορά MFA

1. αυτοεκβολή μέσω της πύλης → προσωρινό αποκλεισμό των συνεδριάσεων·

2. επαλήθευση εγγράφων + επιβεβαίωση μέσω εποπτικής αρχής·

3. την αποδέσμευση νέων παραγόντων·

4. λογιστικός έλεγχος 30 ημερών.

8. 3 Γυαλί θραύσης (πρόσβαση έκτακτης ανάγκης)

Ανάκτηση μόνο· συντελεστής: κύριος δείκτης αποθηκευμένος με HSM + δεύτερος εγκριτής· χρόνος ≤ 30 λεπτά· πλήρη καταγραφή της συνεδρίασης· Ασφάλεια μετά την επανεξέταση + ΥΠΔ.

8. Επαναφορά κωδικού πρόσβασης παίκτη

Κανάλι: ηλεκτρονικό ταχυδρομείο/τηλέφωνο, εφάπαξ σύνδεση ≤ 15 λεπτά. μετά την επαναφορά - υποχρεωτική ρύθμιση ΜΧΣ στην επόμενη σύνδεση (ήπιος ψυχαναγκασμός με πριμοδότηση/κίνητρο).

9) Κανόνες για διάφορες κατηγορίες λογαριασμών

9. 1 Μισθωτοί/πωλητές

Απαιτείται WebAutn + TOTP. απαγόρευση της SMS-MAX.
Πρόσβαση σε χειριστές μόνο από συσκευές MDM/κορπί VPN. JIT για την κλιμάκωση των προνομίων.
Απαγόρευση τοπικών «επιμερισμένων» λογαριασμών που ονομάζονται μόνο.

9. 2 Παίκτες

MFA soft-companced: πανό παροχής κινήτρων, πριμοδοτήσεις ένταξης· υψηλού κινδύνου (πληρωμές/αλλαγή λεπτομερειών).
Υποστήριξη προσβασιμότητας: βασικές φράσεις/αναγνώστες οθόνης, εφεδρικά κανάλια.

9. 3 Λογαριασμοί υπηρεσιών/API

Δεν υπάρχουν κωδικοί πρόσβασης. μόνο αμοιβαία επαλήθευση ταυτότητας (mTLS, OIDC client-creds, υπογραφή webhooks).
Κλειδιά του μυστικού διαχειριστή. εναλλαγή και λογιστικός έλεγχος.

10) Ολοκλήρωση με IdP/SSO

κεντρικό IdP (OIDC/SAML)· RBAC ως κωδικός.
Προσαρμοστική ΜΧΠ: ενίσχυση των παραγόντων με σήματα κινδύνου (γεω/νέα συσκευή/ανωμαλίες).
πρόβλεψη/απενεργοποίηση SCIM· εκτός επιβίβασης 15 λεπτά μετά την απόλυση.

11) Καταγραφή και λογιστικός έλεγχος

( - ): 'LOGIN _ SUCCESS/FAIL', 'MAX _ ENROLL/VERIFY/FAIL', 'PASSWORD _ RESET _ REQUEST _ REQUAL),', 'BREAK _ GLASS _ START/END', 'ADMIN _ LOGIN', 'RISK _ UPGRADE', 'TOKEN _ ISSUE/REVOKE'.

Αντίγραφο σε WORM, υπογραφή/αλυσίδα hash. δεσμευτική για το «trace _ i ,» actor _ i , «σκοπός».

12) Μετρήσεις και KPI/KRI

Υιοθέτηση ΜΧΣ (εργαζόμενοι): 100% WebAuthn, 100% TOTP ως αποθεματικό.
Υιοθέτηση των ΜΧΣ (παράγοντες): ≥ 30-50% σε 6 μήνες (ανάλογα με την αγορά).
Επισφαλείς συνδέσεις: 0. το μερίδιο των προσπαθειών με αποκλεισμένους κωδικούς πρόσβασης που διέρρευσαν στην περίμετρο είναι 100%.
Avg time to offboard: 15 мин ≤.
Προειδοποιήσεις για κόπωση/1000 MAU: ↓ MoM.
Ποσοστό επιτυχίας επαναφοράς κωδικού πρόσβασης: ≥ 98% χωρίς υποστήριξη επαφής.
Εκ νέου αυτόματη κάλυψη: 100% για λειτουργίες υψηλού κινδύνου.

13) Παραδείγματα πολιτικής (αποσπάσματα)

13. 1 Πολιτική ελέγχου μήκους και διαρροής (ψευδο-YAML)

yaml password:
min_length: 14 allow_spaces: true banned_lists:
- top100k_common
- organization_keywords breach_check: enabled  # k-anonymity lookup rotation: on_compromise_only

13. 2 MFA-εφαρμογή

yaml mfa:
required_roles:
- admin
- payments
- aml
- kyc required_factors:
- webauthn fallback:
- totp disallowed:
- sms

13. 3 Επαναχρησιμοποίηση για ευαίσθητες ενέργειες

yaml reauth:
actions:
- change_payout_details
- approve_withdrawal
- change_email
- manage_mfa ttl_minutes: 5

14) Σχέση με άλλους ελέγχους

RBAC/ABAC/SoD: Η ΜΧΣ είναι υποχρεωτική για την ανάθεση/αλλαγή ρόλων, τους ανελκυστήρες JIT και τις λειτουργίες 'ΕΓΚΡΙΣΗ _'.
Καταχωρίσεις και αποθήκευση ημερολογίου: βλ. «Αρχεία καταγραφής και ίχνη πρόσβασης», «Πολιτική αποθήκευσης ημερολογίου».
Περιστατικά: εάν υπάρχει υποψία συμβιβασμού - άμεση επαναφορά κωδικού πρόσβασης + συμβολικού κωδικού, ανάκληση συνεδρίας, εγκληματολογία (βλέπε «Διαδικασίες διαρροής δεδομένων»).

15) Κατάλογοι ελέγχου

Πριν απελευθερώσετε την ταυτοποίηση

  • Το WebAuthn είναι ενεργοποιημένο, TOTP ως εφεδρικό, εκδίδονται εφεδρικοί κωδικοί.
  • Έλεγχοι για διαρρέοντες κωδικούς πρόσβασης και λεξικούς καταλόγους.
  • Όρια συντελεστών και προστασία της γέμισης με ευπιστία.
  • Επαναφόρτωση για ευαίσθητες λειτουργίες.
  • Λογιστικοί έλεγχοι και καταχωρίσεις στον SIEM.

Τριμηνιαία

  • ανάλυση αποδοχής ΜΧΣ· Κίνητρα A/B για παίκτες.
  • Επανεξέταση των πολιτικών για την ταχεία κόπωση.
  • Περιστροφή κλειδιού υπηρεσίας, έλεγχος πιπεριού/KMS.
  • Ασκήσεις: FIDO2 απώλεια κλειδιού, βλάβη TOTP, θραύση υαλοπινάκων.

16) Χάρτης πορείας για την εφαρμογή

Εβδομάδες 1-2: έλεγχος ταυτοποίησης, ενεργοποίηση WebAuthn και TOTP, ρύθμιση ελέγχου παραβίασης, ενημέρωση πολιτικής κωδικών πρόσβασης (passphrase).
Εβδομάδες 3-4: εφαρμογή εκ νέου αυτόματης εφαρμογής για υψηλού κινδύνου, αντιστοίχιση αριθμών στην ώθηση, ειδοποιήσεις SIEM· διανέμουν FIDO2 κλειδιά στους εργαζομένους.
Μήνας 2: προσαρμοστική ΠΧΠ (σήματα κινδύνου), πλήρης αναγνωριστικός διαχειριστής κωδικού πρόσβασης, πύλη επαναφοράς αυτοεξυπηρέτησης, εφεδρικοί κωδικοί.
Μήνας 3 +: Προώθηση A/B σε παίκτες, περιοδικές ασκήσεις, βελτιστοποίηση UX και μείωση της κόπωσης MFA, αυτοματοποίηση αναφοράς KPI.

TL, DR

Ισχυρή ταυτοποίηση = pasphrases + WebAuthn (απαιτείται) + TOTP (reserve) + re-auth για ριψοκίνδυνες ενέργειες, γέμιση/ωμή προστασία, ισχυρή hashing (Argon2id), διαχειριστής κωδικού πρόσβασης και έλεγχος κάθε βήματος. Αυτό μειώνει τους συμβιβασμούς λογαριασμών, απλοποιεί τη συμμόρφωση και δύσκολα τρίβει το UX εάν γίνει σωστά.

Contact

Επικοινωνήστε μαζί μας

Επικοινωνήστε για οποιαδήποτε βοήθεια ή πληροφορία.Είμαστε πάντα στη διάθεσή σας.

Telegram
@Gamble_GC
Έναρξη ολοκλήρωσης

Το Email είναι υποχρεωτικό. Telegram ή WhatsApp — προαιρετικά.

Το όνομά σας προαιρετικό
Email προαιρετικό
Θέμα προαιρετικό
Μήνυμα προαιρετικό
Telegram προαιρετικό
@
Αν εισαγάγετε Telegram — θα απαντήσουμε και εκεί.
WhatsApp προαιρετικό
Μορφή: κωδικός χώρας + αριθμός (π.χ. +30XXXXXXXXX).

Πατώντας «Αποστολή» συμφωνείτε με την επεξεργασία δεδομένων.