GH GambleHub

خط مشی رمز عبور و MFA

1) اهداف و محدوده

هدف: کاهش خطر به خطر انداختن حساب های کارکنان/شرکا و بازیکنان، برای اطمینان از انطباق با استانداردهای امنیتی داخلی و الزامات قانونی.
پوشش: تمام حساب های شرکت (SSO/IDp)، پانل های مدیریت، پرداخت و کنسول های KYC، حساب های سرویس/ربات، و همچنین حساب های کاربری بازیکنان.

2) اصول اساسی

مقاوم در برابر فیشینگ به طور پیش فرض: TOTP فشار دادن پیام کوتاه/ایمیل OTP (دومی - فقط به عنوان یک برگشت).
حداقل امتیاز + JIT: امتیازات به صورت حداقل و موقت اعطا می شود، MFA پس از ارتقاء اجباری است.
کلمات عبور به عنوان آخرین راه حل: تاکید بر رمزهای عبور و مدیران رمز عبور ؛ ممنوعیت کلمه عبور کوتاه «به یاد ماندنی».
امنیت به طور پیش فرض: MFA به طور پیش فرض فعال است ؛ برای اقدامات انتقادی - دوباره auth.
مشاهده: تمام رویدادهای تأیید اعتبار/برنامه/تنظیم مجدد - در گزارش های حسابرسی.

3) رمز عبور/رمز عبور مورد نیاز

3. 1 کارمندان/مدیران

فرمت: pasphrase ≥ 14 کاراکتر، فضاهای مجاز است ؛ «پیچیدگی» مورد نیاز مانند «A1!» ممنوع است - در عوض، چک کردن نشت (have-I-pwned-style به صورت محلی/از طریق هش API).
استفاده مجدد: ممنوعیت استفاده مجدد از آخرین 10، ممنوعیت رمز عبور شرکت برای خدمات خارجی.
چرخش: تنها در صورت خطر/در معرض خطر ؛ تغییر دوره ای اجباری - اعمال نمی شود (برای جلوگیری از کلمات عبور ضعیف).
ذخیره سازی: فقط در مدیر رمز عبور شرکت ؛ فایل های محلی/مرورگر را خارج از پروفایل های MDM ممنوع کنید.

3. 2 بازیکن

حداقل 10-12 کاراکتر یا ژنراتور رمز عبور ؛ نشانه بصری نیرو ؛ بلوک لیست رمز عبور محبوب.
فعالسازی «نمایش اسم رمز» و «درج از مدیر» ؛ محدودیت های غیر استاندارد را اعمال نکنید (emoji/کاراکتر - شما می توانید).

4) هشینگ و اسرار

الگوریتم: Argon2id (حافظه ≥ 256 مگابایت، تکرار ≥ 3، موازی ≥ 1) ؛ اجازه دهید bcrypt (هزینه ≥ 12) قانونی باشد.
نمک: منحصر به فرد 16 + بایت در هر نوشتن. فلفل: یک سیستم مخفی در HSM/KMS.
به روز رسانی: هنگام ورود به سیستم، هش های قانونی به طور شفاف «دوباره هش» به مشخصات فعلی است.
کلید های سرویس/نشانه های API: نه «کلمه عبور» - مدیریت از طریق یک مدیر مخفی، چرخش در یک برنامه و در صورت حوادث.

5) MFA: عوامل و اولویت ها

عامل اصلیمقاومت در برابر فیشینگاز کجا درخواست کنید
FIDO2/WebAuthn (کلید، TouchID/پلت فرم ویندوز سلام)بالاکارکنان/مدیران، عملیات پر خطر در بازیکنان
TOTP (RFC 6238)متوسطکارکنان و بازیکنان (سقوط اصلی)
فشار (تایید در برنامه)متوسطکارکنان/بازیکنان ؛ محافظت در برابر خستگی MFA (حد مجاز، تعداد بازی)
پیامک/ایمیل OTPپایینفقط به عنوان یک ذخیره برای از دست دادن دستگاه و برای کم خطر
باید:
  • کدهای پشتیبان (10 عدد، یکبار مصرف)، ذخیره سازی آفلاین ؛
  • MFA-enforcement: برای دسترسی مدیر و اقدامات پرداخت بدون استثنا ؛
  • تطبیق شماره در فشار، با یک کلیک موافقم.

6) سیاست جلسات و دوباره خودکار

مدت زمان: وب 12 ساعت (تعاملی), کنسول مدیریت 8 ساعت, پانل های بحرانی 4 ساعت.
زمان بیکاری: 15-30 دقیقه برای مدیران.
دوباره auth با MFA: هنگام پرداخت/تغییر جزئیات/تغییر ایمیل/MFA/صدور نشانه API.
اتصال دستگاه: دستگاه MDM/ثبت شده برای کارکنان ؛ برای بازیکنان، به خاطر سپردن دستگاه های قابل اعتماد با نمره خطر.

7) حفاظت در برابر حملات احراز هویت

چاشنی اعتبار: IP/دستگاه/کاربر بر اساس نرخ محدودیت، تاخیر امنیتی، تجزیه و تحلیل رفتاری، تایید رمز عبور به بیرون درز.
نیروی بی رحم: تاخیر پیشرونده/captcha پس از شکست N ؛ قفل نرم (موقت)، بدون قفل طولانی برای بازیکنان.
گسترش رمز عبور: تشخیص توسط ناهنجاری ها (بسیاری از حساب ها با یک رمز عبور).
خستگی MFA: محدودیت درخواست فشار، شماره بازی، اطلاعیه های کاربر.
ربات/ضد اتوماسیون: WebAuthn ترجیحا سیگنال های رفتاری، TLS-fixation، mTLS برای پانل های مدیریت.

8) روش ها (SOP)

8. 1 کارکنان در حال سوار شدن

1. حساب SSO از طریق SCIM ؛

2. صدور کلید FIDO2 (حداقل 2: اصلی + آماده به کار) و TOTP ؛

3. نصب یک مدیر رمز عبور

4. اثبات آموزش (فیشینگ، MFA)

8. 2 از دست دادن دستگاه/تنظیم مجدد MFA

1. خود گزارش از طریق پورتال → مسدود کردن موقت جلسات ؛

2. تایید سند + تایید از طریق سرپرست ؛

3. آزادسازی عوامل جدید ؛

4. 30 روز حسابرسی ورود به سیستم.

8. 3 شکستن شیشه (دسترسی اضطراری)

فقط بازیابی ؛ عامل: HSM-stored master token + تایید دوم ؛ زمان ≤ 30 دقیقه ؛ ضبط کامل جلسه ؛ امنیت + DPO را بررسی کنید.

8. 4 رمز عبور بازیکن را بازنشانی کنید

کانال: ایمیل/تلفن، لینک یک بار ≤ 15 دقیقه ؛ پس از تنظیم مجدد - تنظیم MFA اجباری در ورود بعدی (اجبار نرم با پاداش/انگیزه).

9) قوانین برای دسته های مختلف حساب

9. 1 کارکنان/فروشندگان

WebAuthn + TOTP مورد نیاز است ؛ ممنوعیت ارسال SMS-MFA

دسترسی به مدیران فقط از دستگاه های MDM/corp VPN ؛ JIT در افزایش امتیاز.

ممنوعیت حسابهای «مشترک» محلی ؛ فقط به نام

9. 2 بازیکن

MFA نرم مجبور: آگهی های انگیزشی، پاداش گنجاندن ؛ سخت - در معرض خطر بالا (پرداخت/تغییر جزئیات).
پشتیبانی از قابلیت دسترسی: عبارات کلیدی/خوانندگان صفحه نمایش، کانال های سقوط.

9. 3 حساب های خدمات/API ها

بدون کلمه عبور ؛ فقط احراز هویت متقابل (mTLS، OIDC client-creds، امضای webhooks).

کلید در مدیر مخفی ؛ چرخش و حسابرسی

10) ادغام با IdP/SSO

شناسه مرکزی (OIDC/SAML) ؛ RBAC به عنوان کد

MFA تطبیقی: عوامل تقویت شده توسط سیگنال های خطر (جغرافیایی/دستگاه جدید/ناهنجاری).
SCIM-تأمین/د-تأمین ؛ خروج ≤ 15 دقیقه پس از اخراج.

11) ورود و حسابرسی

События (аудит - обязательные): "LOGIN _ SUCCESS/FAIL"، "MFA _ RESET _ REQUEST/COMPLETE"، "MFA _ RESET"، "DEVICE _ TRUST _ ADD/REMOVE"، "BREAK _ GLASS _ START/END"، "ADMIN _ LOGIN"، "RISK _ UPGRADE '،' TOKEN _ ISSUE/REVOKE '.

کپی در WORM، امضا/زنجیره هش ؛ مرتبط با «ردیابی _ id»، «بازیگر _ id»، «هدف».

12) معیارها و KPI/KRI

پذیرش MFA (کارمندان): 100٪ WebAuthn، 100٪ TOTP به عنوان رزرو.
پذیرش MFA (بازیکنان): ≥ 30-50٪ در 6 ماه (بسته به بازار).
logins در معرض خطر: 0; سهم تلاش با کلمات عبور نشت مسدود شده در محیط 100٪ است.
زمان متوسط برای خروج: ≤ 15 мин.
هشدار خستگی فشار/1000 MAU: ↓ MoM.
میزان موفقیت تنظیم مجدد رمز عبور: ≥ 98٪ بدون تماس با پشتیبانی.
پوشش مجدد: 100٪ برای عملیات با خطر بالا.

13) نمونه سیاست (قطعه)

13. 1 طول و خط مشی چک کردن نشت (pseudo-YAML)

yaml password:
min_length: 14 allow_spaces: true banned_lists:
- top100k_common
- organization_keywords breach_check: enabled  # k-anonymity lookup rotation: on_compromise_only

13. 2 اجرای MFA

yaml mfa:
required_roles:
- admin
- payments
- aml
- kyc required_factors:
- webauthn fallback:
- totp disallowed:
- sms

13. 3 مجدد برای اقدامات حساس

yaml reauth:
actions:
- change_payout_details
- approve_withdrawal
- change_email
- manage_mfa ttl_minutes: 5

14) ارتباط با سایر کنترل ها

RBAC/ABAC/SoD: MFA برای تخصیص/تغییر نقش، آسانسورهای JIT و عملیات «تأیید _» اجباری است.
سیاهههای مربوط و ورود به سیستم ذخیره سازی: «سیاهههای مربوط به حسابرسی و ردیابی دسترسی»، «سیاست ذخیره سازی ورود» را ببینید.
حوادث: اگر یک مصالحه مشکوک باشد - رمز عبور فوری + بازنشانی نشانه، فراخوان جلسه، پزشکی قانونی (نگاه کنید به «روش نشت اطلاعات»).

15) چک لیست

قبل از اینکه احراز هویت را آزاد کنید

  • WebAuthn فعال است، TOTP به عنوان پشتیبان، کدهای پشتیبان صادر می شود.
  • چک برای کلمه عبور نشت و لیست واژگان.
  • محدودیت نرخ و حفاظت چاشنی اعتبارنامه.
  • مجدد برای عملیات حساس.
  • سیاهههای مربوط/ممیزی و هشدار در SIEM.

سه ماهه

  • تجزیه و تحلیل پذیرش MFA ؛ انگیزه های A/B برای بازیکنان
  • بررسی سیاست های فشار خستگی.
  • چرخش کلید سرویس، بررسی فلفل/KMS.
  • تمرینات: از دست دادن کلید FIDO2، شکست TOTP، شکستن شیشه.

16) نقشه راه پیاده سازی

هفته 1-2: ممیزی احراز هویت, فعال WebAuthn و TOTP, پیکربندی نقض چک, سیاست رمز عبور به روز رسانی (رمز عبور).

هفته 3-4: پیاده سازی مجدد برای ریسک بالا، تطبیق شماره در فشار، هشدار SIEM ؛ توزیع کلیدهای FIDO2 به کارمندان

ماه 2: MFA سازگار (سیگنال های خطر)، مدیر رمز عبور کامل، پورتال بازنشانی خود سرویس، کدهای پشتیبان.
ماه 3 +: ارتقاء MFA A/B به بازیکنان، تمرینات دوره ای، بهینه سازی UX و کاهش خستگی MFA، اتوماسیون گزارش KPI.

TL ؛ دکتر متخصص

احراز هویت قوی = pasphrases + WebAuthn (مورد نیاز) + TOTP (ذخیره) + دوباره auth برای اقدامات خطرناک، محافظت از چاشنی/بی رحم، هش قوی (Argon2id)، مدیر رمز عبور و حسابرسی هر مرحله. این مصالحه حساب را کاهش می دهد، ساده انطباق و به سختی پاک UX اگر به درستی انجام می شود.

Contact

با ما در تماس باشید

برای هرگونه سؤال یا نیاز به پشتیبانی با ما ارتباط بگیرید.ما همیشه آماده کمک هستیم!

Telegram
@Gamble_GC
شروع یکپارچه‌سازی

ایمیل — اجباری است. تلگرام یا واتساپ — اختیاری.

نام شما اختیاری
ایمیل اختیاری
موضوع اختیاری
پیام اختیاری
Telegram اختیاری
@
اگر تلگرام را وارد کنید — علاوه بر ایمیل، در تلگرام هم پاسخ می‌دهیم.
WhatsApp اختیاری
فرمت: کد کشور و شماره (برای مثال، +98XXXXXXXXXX).

با فشردن این دکمه، با پردازش داده‌های خود موافقت می‌کنید.