पासवर्ड नीति और एमएफए

1) उद्देश्य और दायरा

लक्ष्य: आंतरिक सुरक्षा मानकों और नियामक आवश्यकताओं का अनुपालन सुनिश्चित करने के लिए कर्मचारियों/भागीदारों और खिलाड़ियों के खातों से समझौता करने के जोखिम को कम कर

कवरेज: सभी कॉर्पोरेट खाते (एसएसओ/आईडीपी), व्यवस्थापक पैनल, भुगतान और केवाईसी कंसोल, सेवा/बॉट खाते, साथ ही खिलाड़ियों के उपयोगकर्ता खाते।

2) बुनियादी सिद्धांत

डिफ़ॉल्ट रूप से फ़िशिंग-प्रतिरोधी: FIDO2/WebAuthn ≥ TOTP ≥ पुश ≥ SMS/ई-मेल OTP (बाद में - केवल एक फॉलबैक के रूप में)।

कम से कम विशेषाधिकार + जेआईटी: विशेषाधिकार न्यूनतम और अस्थायी रूप से प्रदान किए जाते हैं, एमएफए पदोन्नति पर अनिवार्य है।

अंतिम उपाय के रूप में पासवर्ड: पासफ्रेज़और पासवर्ड प्रबंधकों पर जोर; "यादगार" लघु पासवर्ड का निषेध।

डिफ़ॉल्ट द्वारा सुरक्षा: MFA डिफ़ॉल्ट रूप से सक्षम है; महत्वपूर्ण कार्यों के लिए - फिर से उत्साह।

अवलोकन: सभी प्रमाणीकरण/अनुप्रयोग/रीसेट घटना - ऑडिट लॉग में।

3) पासवर्ड/पासफ्रेज आवश्यकताएं

3. 1 कर्मचारी/प्रशासक

प्रारूप: pasfrase ≥ 14 वर्ण, रिक्त स्थान की अनुमति है; "जटिलता" जैसी आवश्यकताएं 'A1!' निषिद्ध हैं - इसके बजाय, लीक चेकिंग (स्थानीय रूप से/एपीआई हैश के माध्यम से-I-be-pwned-शैली)।

पुन: उपयोग: पिछले 10 के पुन: उपयोग का निषेध, बाहरी सेवाओं के लिए कॉर्पोरेट पासवर्ड का निषेध।

रोटेशन: केवल अगर समझौता/जोखिम पर; जबरन आवधिक परिवर्तन - लागू नहीं होता है (कमजोर पासवर्ड से बचने के लिए)।

भंडारण: केवल कॉर्पोरेट पासवर्ड प्रबंधक में; एमडीएम प्रोफाइल के बाहर स्थानीय फ़ाइलें/ब्राउज़र ऑटोसेव प्रतिबंधित करें।

3. 2 खिलाड़ी

न्यूनतम 10-12 वर्ण या पासफ्रेज़जनरेटर; बल का दृश्य संकेत; लोकप्रिय पासवर्ड सूचियों का ब्लॉक।

"पासवर्ड दिखाएँ" और "प्रबंधक से प्रविष्ट करें" सक्षम करें; गैर-मानक प्रतिबंध न लगाएं (इमोजी/वर्ण - आप कर सकते हैं)।

4) हैशिंग और रहस्य

एल्गोरिथ्म: Argon2id (मेमोरी ≥ 256 एमबी, पुनरावृत्ति ≥ 3, समानतावाद ≥ 1); bcrypt (लागत ≥ 12) को कानूनी होने दें।

नमक: प्रति लिखने के लिए अद्वितीय 16 + बाइट्स। काली मिर्च: एचएसएम/केएमएस में एक प्रणाली रहस्य।

अद्यतन: लॉगिन करते समय, कानूनी हैश पारदर्शी रूप से वर्तमान प्रोफ़ाइल के लिए "री-हैश" हैं।

सेवा कुंजी/एपीआई टोकन: "पासवर्ड" नहीं - एक गुप्त प्रबंधक के माध्यम से प्रबंधन, एक अनुसूची पर रोटेशन और घटनाओं के मामले में।

5) एमएफए: कारक और प्राथमिकताएं

• बैकअप कोड (10 पीसी।, डिस्पोजेबल), ऑफ़ लाइन स्टोरेज;
• एमएफए-प्रवर्तन: अपवादों के बिना व्यवस्थापक पहुंच और भुगतान कार्रवाई के लिए;
• पुश में नंबर-मिलान, एक-क्लिक सहमत।

6) सत्र नीति और पुन: उत्पन्न

अवधि: वेब 12 एच (इंटरैक्टिव), व्यवस्थापक कंसोल 8 एच, महत्वपूर्ण पैनल 4 एच।

निष्क्रिय समय समाप्ति: प्रशासन के लिए 15-30 मिनट।

एमएफए के साथ फिर से: जब विवरण का भुगतान/बदलना/ई-मेल/एमएफए/एपीआई टोकन जारी करना।

उपकरण बाइंडिंग: कर्मचारियों के लिए एमडीएम/पंजीकृत उपकरण; खिलाड़ियों के लिए, एक जोखिम स्कोर के साथ विश्वसनीय उपकरणों को याद

7) प्रमाणीकरण हमलों से सुरक्षा

क्रेडेंशियल स्टफिंग: आईपी/डिवाइस/उपयोगकर्ता-आधारित दर-सीमा, सुरक्षा देरी, व्यवहार विश्लेषण, लीक हुआ पासवर्ड सत्यापन।

ब्रूट बल: एन विफलताओं के बाद प्रगतिशील देरी/कैप्चा; नरम ताले (अस्थायी), खिलाड़ियों के लिए कोई लंबा ताला नहीं।

पासवर्ड फैलाना: विसंगतियों का पता लगाना (एक पासवर्ड के साथ कई खाते)।

एमएफए-थकान: पुश अनुरोध सीमा, नंबर-मैच, उपयोगकर्ता सूचनाएं।

बॉट/एंटी-ऑटोमेशन: वेबऑटन अधिमानतः व्यवहार संकेत, टीएलएस-फिक्सेशन, एमटीएलएस फॉर एडमिन पैनल।

8) प्रक्रियाएं (एसओपी)

8. 1 कर्मचारी ऑनबोर्डिंग

1. SCIM के माध्यम से SSO खाता;

2. FIDO2 कुंजी जारी करना (न्यूनतम 2: मुख्य + स्टैंडबाय) और TOTP;

3. कूटशब्द प्रबंधक संस्थापित किया जा

4. प्रशिक्षण का प्रमाण (फ़िशिंग, एमएफए)।

8. 2 उपकरण हानि/एमएफए रीसेट

1. पोर्टल के माध्यम से स्व-रिपोर्ट → सत्रों के अस्थायी अवरोधन;

2. पर्यवेक्षक के माध्यम से दस्तावेज़ सत्यापन + पुष्टि

3. नए कारकों की रिहाई;

4. 30-दिवसीय लॉग ऑडिट।

8. 3 ब्रेक-ग्लास (आपातकालीन पहुंच)

केवल वसूली; कारक: एचएसएम-संग्रहीत मास्टर टोकन + सेकंड एप्रोवर; ≤ समय 30 मिनट; सत्र की पूर्ण रिकॉर्डिंग; पोस्ट-रिव्यू सिक्योरिटी + डीपीओ।

8. 4 प्लेयर पासवर्ड रीसेट करें

चैनल: ई-मेल/फोन, एक बार लिंक ≤ 15 मिनट; अगले लॉगिन पर रीसेट - अनिवार्य एमएफए सेटिंग के बाद (बोनस/प्रेरणा के साथ नरम मजबूरी)।

9) खातों की विभिन्न श्रेणियों के लिए नियम

9. 1 कर्मचारी/विक्रेता

WebAuthn + TOTP आवश्यक है; एसएमएस-एमएफए पर प्रतिबंध लगाना।

केवल एमडीएम उपकरणों/कॉर्प वीपीएन से प्रशासन तक पहुंच; विशेषाधिकार वृद्धि पर JIT।

स्थानीय "साझा" खातों का निषेध; केवल नाम दिया गया।

9. 2 खिलाड़ी

एमएफए नरम-मजबूर: प्रेरक बैनर, समावेश बोनस; कठिन - उच्च जोखिम पर (विवरण का भुगतान/परिवर्तन)।

पहुँच समर्थन: मुख्य वाक्यांश/स्क्रीन पाठक, फॉलबैक चैनल।

9. 3 सेवा लेखा/एपीआई

कोई कूटशब्द नहीं; आपसी प्रमाणीकरण केवल (mTLS, OIDC क्लाइंट-क्रेड्स, वेबहूक के हस्ताक्षर)।

गुप्त प्रबंधक में कुंजी; रोटेशन और ऑडिट।

10) आईडीपी/एसएसओ के साथ एकीकरण

केंद्रीय आईडीपी (OIDC/SAML); कोड के रूप में RBAC।

अनुकूली एमएफए: जोखिम संकेतों (भू/नए उपकरण/विसंगतियों) द्वारा कारकों को बढ़ाना।

SCIM-provisioning/de-provisioning; बर्खास्तगी के बाद ऑफबोर्डिंग ≤ 15 मिनट।

11) लॉगिंग और ऑडिटिंग

( -): 'LOGIN _ SUMPER/FAIL', 'MFA _ ENROLL/VERIFY/FAIL', 'PASSWORD _ RESET _ EXPLAT T T T/',' START/END ',' ADMIN _ LOGIN ',' RISE _ UPGRADE ',' TOKEN _ IMSIXT/REVOKE '।

WORM, हस्ताक्षर/हैश श्रृंखला में प्रतिलिपि; 'ट्रेस _ आईडी', 'एक्टर _ आईडी', 'उद्देश्य' के लिए बाध्यकारी।

12) मेट्रिक्स और केपीआई/केआरआई

एमएफए गोद लेना (कर्मचारी): 100% वेबऑटन, रिजर्व के रूप में 100% टीओटीपी।

एमएफए गोद लेना (खिलाड़ी): 6 महीने में ≥ 30-50% (बाजार के आधार पर)।

समझौता लॉगिन: 0; परिधि पर अवरुद्ध लीक पासवर्ड के साथ प्रयासों का हिस्सा 100% है।

ऑफबोर्ड करने के लिए Avg समय: ≤ 15 мин।

थकान अलर्ट/1000 MAU: ↓ MoM।

पासवर्ड सफलता दर रीसेट करें: समर्थन से संपर्क किए बिना ≥ 98%।

पुन: कवरेज: उच्च जोखिम वाले संचालन के लिए 100%।

13) नीतिगत उदाहरण (स्निपेट्स)

13. 1 लंबाई और रिसाव जाँच नीति (छद्म-YAML)

yaml password:
min_length: 14 allow_spaces: true banned_lists:
- top100k_common
- organization_keywords breach_check: enabled  # k-anonymity lookup rotation: on_compromise_only

13. 2 एमएफए-प्रवर्तन

yaml mfa:
required_roles:
- admin
- payments
- aml
- kyc required_factors:
- webauthn fallback:
- totp disallowed:
- sms

13. संवेदनशील कार्यों के लिए 3 री-अथ

yaml reauth:
actions:
- change_payout_details
- approve_withdrawal
- change_email
- manage_mfa ttl_minutes: 5

14) अन्य नियंत्रणों के साथ संबंध

RBAC/ABAC/SoD: MFA भूमिका असाइनमेंट/परिवर्तन, JIT लिफ्ट और 'ADMANDOVE _' संचालन के लिए अनिवार्य है।

लॉग और लॉग स्टोरेज: "ऑडिट लॉग और एक्सेस ट्रेस देखें", "लॉग स्टोरेज पॉलिसी।"

घटनाएं: यदि एक समझौता संदिग्ध है - तत्काल पासवर्ड + टोकन रीसेट, सत्र रिकॉल, फोरेंसिक ("डेटा रिसाव के लिए प्रक्रियाएं" देखें)।

15) चेकलिस्ट

सत्यापन जारी करने से पहले

• वेबऑटन सक्षम है, बैकअप के रूप में TOTP, बैकअप कोड जारी किए जाते हैं।
• लीक पासवर्ड और शाब्दिक सूचियों के लिए जाँच।
• रेट-लिमिट और क्रेडेंशियल स्टफिंग प्रोटेक्शन।
• संवेदनशील संचालन के लिए फिर से।
• SIEM में लॉग/ऑडिट और अलर्ट।

त्रैमासिक

• एमएफए स्वीकृति एनालिटिक्स; खिलाड़ियों के लिए ए/बी प्रेरक।
• पुश-थकान नीतियों की समीक्षा।
• सेवा कुंजी रोटेशन, काली मिर्च/केएमएस जाँच।
• अभ्यास: FIDO2 महत्वपूर्ण नुकसान, TOTP विफलता, ब्रेक-ग्लास।

16) कार्यान्वयन रोडमैप

सप्ताह 1-2: प्रमाणीकरण ऑडिट, वेबऑटन और टीओटीपी सक्षम करें, ब्रीच-चेक कॉन्फ़िगर करें, पासवर्ड पॉलिसी (पासफ्रेज़) अपडेट करें।

सप्ताह 3-4: उच्च जोखिम, पुश में नंबर-मिलान, SIEM अलर्ट के लिए फिर से लागू करें; कर्मचारियों को FIDO2 कुंजी वितरित करें।

महीना 2: अनुकूली एमएफए (जोखिम संकेत), पूर्ण-चित्रित पासवर्ड प्रबंधक, स्व-सेवा रीसेट पोर्टल, बैकअप कोड।

महीना 3 +: खिलाड़ियों के लिए ए/बी एमएफए पदोन्नति, आवधिक अभ्यास, यूएक्स अनुकूलन और एमएफए-थकान में कमी, केपीआई रिपोर्टिंग स्वचालन।

टीएल; डीआर

मजबूत प्रमाणीकरण = pasfrases + Webautn (आवश्यक) + TOTP (आरक्षित) + जोखिम भरा कार्यों के लिए फिर से आथ, भराई/क्रूर सुरक्षा, मजबूत हैशिंग (Argon2id), पासवर्ड प्रबंधक और प्रत्रत्येक लेखा। यह खाता समझौता कम करता है, अनुपालन को सरल बनाता है और यदि सही ढंग से किया जाता है तो शायद ही UX को रगड़ता है।