GH GambleHub

מדיניות סיסמה ו ־ MFA

1) מטרות והיקף

המטרה: להפחית את הסיכון של פגיעה בחשבונות של עובדים/שותפים ושחקנים, כדי להבטיח ציות לסטנדרטים של ביטחון פנים ודרישות רגולטוריות.
כיסוי: כל חשבונות החברה (SSO/IDP), לוחות ניהול, תשלומים וקונסולות KYC, חשבונות שירות/בוט, וחשבונות משתמש של שחקנים.

2) עקרונות בסיסיים

עמיד בפני פישינג כברירת מחדל: FIDO2/WebAuthn TOTP MISS/דואר אלקטרוני (האחרון - רק כנשורת).
חיסיון מינימלי + JIT: הרשאות ניתנות באופן מינימלי וזמני, MFA חובה על קידום.
סיסמאות כמוצא אחרון: דגש על סיסמאות ומנהלי סיסמאות; איסור על סיסמאות קצרות ”בלתי נשכחות”.
אבטחה כברירת מחדל: MFA מופעל כברירת מחדל; לפעולות קריטיות - מחדש auth.
תצפית: כל אימות/יישום/איפוס אירועים - ברישומי ביקורת.

3) דרישות סיסמה/סיסמה

3. 1 עובדים/מנהלים

תבנית: pasphrase @ 14 תווים, הרווחים מותרים; ”מורכבות” דרישות כמו ”A1!” אסורים - במקום זאת, בדיקת דליפה (have-I-כבר-pwed-סגנון מקומי/דרך API hash).
שימוש חוזר: איסור על שימוש חוזר ב-10 האחרונים, איסור על סיסמה תאגידית לשירותים חיצוניים.
סיבוב: רק אם בסכנה/בסיכון; שינוי תקופתי כפוי - אינו חל (להימנע מסיסמאות חלשות).
אחסון: רק במנהל הסיסמה של החברה; איסור על קבצים/דפדפנים מקומיים מחוץ לפרופילי MDM.

3. 2 שחקנים

תווים מינימליים 10-12 או מחולל סיסמאות; אינדיקציה חזותית של כוח; בלוק של רשימות סיסמאות פופולריות.
אפשר ”הצג סיסמה” ו ”הכנס ממנהל”; אל תטיל הגבלות לא סטנדרטיות (אימוג 'י/דמויות - אתה יכול).

4) חשיש וסודות

אלגוריתם: Argon2id (זיכרון 256 MB, איטרציות 3, מקביליות 1); ניתן ל ־ bcrypt (עלות 12) להיות חוקי.
מלח: 16 + בייטים ייחודיים לכתיבה. פלפל: סוד מערכת ב ־ HSM/KMS.
עדכון: כאשר מתחברים, חשיש חוקי הוא ”חשיש מחדש” באופן שקוף לפרופיל הנוכחי.
מפתחות שירות/API אסימונים: לא ”סיסמאות” - ניהול באמצעות מנהל חשאי, סיבוב לפי לוח זמנים ובמקרה של תקריות.

5) MFA: גורמים וסדרי עדיפויות

גורםהתנגדות פיגיתאיפה ליישם את
FIDO2/WebAuthn (מפתחות, Touchid/Windows שלום פלטפורמה)גבוהעובדים/עובדים, מבצעים בסיכון גבוה בשחקנים
TOTP (RFC 6238)ממוצע שלעובדים ושחקנים (נסיגה עיקרית)
דחוף (אישור ביישום)ממוצע שלעובדים/שחקנים; להגן מפני MFA-עייפות (מגבלת קצב, מספר-משחק)
SMS/דואר אלקטרוני OTPנמוך יותררק כעתודה לאובדן מכשיר ולסיכון נמוך

חובה

קודי גיבוי (10 תיקים, חד פעמיים), אחסון לא מקוון;

אכיפת MFA: לגישה מנהלתית ופעולות תשלום ללא יוצא מן הכלל;

התאמת מספר בדחיפה, לחיצה אחת מסכימה.

6) מדיניות הפעלה ואוטו מחדש

משך: אינטרנט 12 h (אינטראקטיבי), קונסולת מנהלה 8 h, לוחות קריטיים 4 h.
פסק זמן: 15-30 דקות לניהול.
re-auth עם MFA: בעת תשלום/שינוי פרטים/שינוי דואר אלקטרוני/MFA/הנפקת אסימוני API.
התקן מחייב: MDM/התקן רשום לעובדים; לשחקנים, לזכור מכשירים אמינים עם ציון סיכון.

7) הגנה מפני התקפות אימות

מילוי אישורים: IP/התקן/מגבלות קצב מבוססות משתמש, עיכובי אבטחה, ניתוח התנהגותי, אימות סיסמה דלף.
כוח גס: עיכובים מתקדמים/קפצ 'ה לאחר כישלונות N; מנעולים רכים (זמני), אין השבתה ארוכה לשחקנים.
הססמה מתפשטת: גילוי על ידי חריגות (חשבונות רבים עם סיסמה אחת).
MFA-עייפות: הגבלת בקשה דחוף, התאמת מספר, הודעת משתמש.
Bot/anti-Automation: Webwarthn רצוי אותות התנהגותיים, TLS-קיבעון, mTLS עבור לוחות ניהול.

8) נהלים (SOP)

8. עובד 1 בעלייה למטוס

1. חשבון SSO באמצעות SCIM;

2. הנחת מפתח FIDO2 (מינימום 2: main + standby) ו-TOTP;

3. התקנת מנהל סיסמה

4. הוכחה לאימונים (פישינג, MFA).

8. 2 איפוס איבוד התקן/MFA

1. דיווח עצמי דרך הפורטל * חסימה זמנית של מפגשים;

2. אישור מסמך + אישור באמצעות מפקח;

3. שחרור של גורמים חדשים;

4. ביקורת יומן של 30 יום.

8. 3 זכוכית פריצה (גישה לשעת חירום)

התאוששות בלבד; פקטור: HSM-מאוחסן אסימון מאסטר + אישור שני; זמן 30 min; הקלטה מלאה של המפגש; אבטחה פוסט-סקירה + DPO.

8. 4 איפוס סיסמת נגן

ערוץ: דואר אלקטרוני/טלפון, קישור חד פעמי על 15 דקות; לאחר איפוס - הגדרת MFA חובה על ההתחברות הבאה (כפייה רכה עם בונוס/מוטיבציה).

9) כללים לקטגוריות שונות של חשבונות

9. 1 עובדים/ספקים

WebWarThn + TOTP נדרש; לאסור על SMS-MFA.
גישה למכשירי MDM/Corp VPN בלבד; ג 'יי-איי-טי על הסלמת החיסיון.
איסור על חשבונות ”משותפים” מקומיים; רק שם.

9. 2 שחקנים

MFA-אילוץ רך: כרזות מוטיבציה, בונוסים הכללה; קשה - בסיכון גבוה (תשלומים/שינוי פרטים).
תמיכה בנגישות: ביטויי מפתח/קוראי מסך, ערוצי גיבוי.

9. 3 חשבונות שירות/API

אין סיסמאות; אימות הדדי בלבד (MTLS, OIDC לקוח-cirds, חתימה של ספרי אינטרנט).
מפתחות במנהל הסודי; סיבוב וביקורת חשבונות.

10) אינטגרציה עם IDP/SSO

מרכז IDP (OIDC/SAML); RBAC כקוד.
MFA אדפטיבי: להגביר גורמים על ידי אותות סיכון (geo/new action/stanomalies).
SCIM-provisioning/דה-provisioning; העלאה בדרגה 15 דקות לאחר פיטורין.

11) כריתת עצים וביקורת

LOGIN _ COSSIBLE (ראשי תיבות של: MFA _ ENROLE/VERICE/FLAILY): "LOGIN _ COSPLE/FASS", "MFA _ ENROLE/FE E ET T T T T T T T T T LABECECIVE IVE EST T EST LEST EST T T LIVE T IVE T IVE T IVE T IVE LIVE IVE IVE IVE Break _ Brust _ Break _ Glass/End', Administration _ Login ',' Rusk _ Religed ',' Token _ Guise/BUN '.

העתק בתולעת, חתימה/שרשרת חשיש; מחייב 'trace _ id', 'actor _ id',' מטרה '.

12) מדדים ו ־ KPI/KRI

אימוץ MFA (עובדים): 100% WebAuthone, 100% TOTP כעתודה.
אימוץ MFA (שחקנים): 30-50% תוך 6 חודשים (תלוי בשוק).
יומני פשרה: 0; הנתח של ניסיונות עם סיסמאות דלף חסום על ההיקף הוא 100%.
הגיע הזמן לצאת מהספינה: 15 דקות ביממה.

התראות על עייפות/1000 מאו:
  • ססמה מאפסת את אחוזי ההצלחה: 98% ללא יצירת קשר עם תמיכה.
  • כיסוי אוטומטי מחדש: 100% לפעולות בסיכון גבוה.

13) דוגמאות מדיניות (קטעים)

13. 1 מדיניות בדיקת אורך ודליפה (פסאודו-YAML)

yaml password:
min_length: 14 allow_spaces: true banned_lists:
- top100k_common
- organization_keywords breach_check: enabled  # k-anonymity lookup rotation: on_compromise_only

13. אכיפת 2 MFA

yaml mfa:
required_roles:
- admin
- payments
- aml
- kyc required_factors:
- webauthn fallback:
- totp disallowed:
- sms

13. 3 re-auth לפעולות רגישות

yaml reauth:
actions:
- change_payout_details
- approve_withdrawal
- change_email
- manage_mfa ttl_minutes: 5

14) יחסים עם פקדים אחרים

RBAC/ABAC/SOD: MFA הוא חובה למשימת תפקידים/שינוי, JIT מגביה ו-EMLAY _ Operations.
רישומים ואחסון רישומים: ראה רישומי ביקורת ועקבות גישה, ”מדיניות אחסון יומן”.
תקריות: אם יש חשד לפשרה - סיסמה מיידית + אסימון אתחול, החזרת סשן, זיהוי פלילי (ראה ”נהלים לדליפת נתונים”).

15) רשימות בדיקה

לפני שאתה משחרר אימות

[ ] WebWarThoughn מופעל, TOTP כגיבוי, קודי גיבוי מונפקים.
[ ] בודק סיסמאות דלופות ורשימות לקסיקליות.
[ ] מגבלות קצב והגנת מילוי נושים.
[ ] Re-Auth לפעולות רגישות.
[ ] יומנים/ביקורת והתראות ב-SIEM.

רבעון

[ ] ניתוח קבלה של MFA; מניעי A/B לשחקנים.
[ ] סקירה של מדיניות עייפות.
[ סבב מפתח שירות ], בדיקת פלפל/KMS.
[ תרגילי ]: הפסד FIDO2, כישלון טוטאלי, זכוכית שבורה.

16) מימוש מפת דרכים

שבועות 1-2: ביקורת אימות, אפשר WebWarThan ו ־ TOTP, הגדרת פריצה-בדיקה, עדכון מדיניות סיסמה (סיסמה).
שבועות 3-4: יישום re-auth לסיכון גבוה, התאמת מספר בדחיפה, התראות SIEM; לחלק FIDO2 המפתחות לעובדים.
חודש 2: MFA אדפטיבי (אותות סיכון), מנהל סיסמאות מלא, פורטל איפוס בשירות עצמי, קודי גיבוי.
חודש 3 +: קידום A/B MFA לשחקנים, תרגילים מחזוריים, אופטימיזציה של UX והפחתת עייפות MFA, KPI דיווח על אוטומציה.

TL; DR

אימות חזק = פסאזות + WebAuthone (דרושה) + TOTP (רזרבה) + re-auth עבור פעולות מסוכנות, מילוי/הגנה גסה, חשיש חזק (ארגונ2id), מנהל סיסמאות וביקורת של כל צעד. זה מפחית את הפשרות בחשבון, מפשט את הציות ובקושי משפשף את UX אם נעשה נכון.

Contact

צרו קשר

פנו אלינו בכל שאלה או צורך בתמיכה.אנחנו תמיד כאן כדי לעזור.

Telegram
@Gamble_GC
התחלת אינטגרציה

Email הוא חובה. Telegram או WhatsApp — אופציונליים.

השם שלכם לא חובה
Email לא חובה
נושא לא חובה
הודעה לא חובה
Telegram לא חובה
@
אם תציינו Telegram — נענה גם שם, בנוסף ל-Email.
WhatsApp לא חובה
פורמט: קידומת מדינה ומספר (לדוגמה, +972XXXXXXXXX).

בלחיצה על הכפתור אתם מסכימים לעיבוד הנתונים שלכם.