GH GambleHub

パスワードポリシーとMFA

1)目的と範囲

目標:従業員/パートナーおよびプレーヤーのアカウントを侵害するリスクを減らし、内部セキュリティ基準および規制要件の遵守を確保する。
カバレッジ:すべての企業アカウント(SSO/IdP)、管理パネル、決済およびKYCコンソール、サービス/ボットアカウント、プレーヤーのユーザーアカウント。

2)基本原則

デフォルトでフィッシング耐性:FIDO2/WebAuthn ≥ TOTP ≥プッシュ≥ SMS/電子メールOTP(後者-フォールバックとしてのみ)。
Lost Privilege+JIT: Privilegesは最低限かつ一時的に付与され、MFAは昇進時に必須です。
最後の手段としてのパスワード:パスフレーズとパスワードマネージャーの強調;「記憶に残る」短いパスワードの禁止。
デフォルトでのセキュリティ:MFAはデフォルトで有効になっています。重要なアクションのために-再認証。
オブザベーション:すべての認証/アプリケーション/リセットイベント-監査ログ。

3)パスワード/パスワードの要件

3.1従業員/管理者

書式:パスフレーズ≥ 14文字、スペースが許可されています。「A1!」のような「複雑さ」の要件!'禁止されています-代わりに、リークチェック(have-I-been-pwned-style locally/via API hash)。
再利用:過去10回の再利用の禁止、外部サービスの企業パスワードの禁止。
ローテーション:危険にさらされた場合のみ。強制的な定期的な変更-(弱いパスワードを避けるために)適用されません。
ストレージ:企業のパスワードマネージャーでのみ。MDMプロファイル以外のローカルファイル/ブラウザオートセーブを禁止します。

3.2人のプレイヤー

最小10-12文字またはパスフレーズジェネレータ。力の視覚的表示;人気のパスワードリストのブロック。
"show password'と"insert from manager"を有効にします。非標準的な制限(絵文字/文字-できます)を課しないでください。

4)ハッシングと秘密

アルゴリズム:Argon2id(メモリ≥ 256 MB、反復≥ 3、並列≥ 1);bcrypt (cost ≥ 12)を合法とする。
ソルト:書き込みあたりユニークな16+バイト。Pepper: HSM/KMSのシステムシークレット。
更新:ログインすると、法的ハッシュは現在のプロファイルに透過的に「再ハッシュ」されます。
サービスキー/APIトークン:「パスワード」ではありません-シークレットマネージャーを介して管理し、スケジュールやインシデントの場合にローテーションします。

5) MFA: 要因と優先順位

Factor(フィッシング抵抗お申し込み先
FIDO2/WebAuthn(キー、TouchID/Windows Helloプラットフォーム)高い従業員/管理者、プレーヤーでの高リスク操作
TOTP (RFC 6238)平均的な従業員とプレーヤー(主なフォールバック)
プッシュ(アプリ内での確認)平均的な従業員/プレーヤー;MFA疲労から保護する(rate-limit、 number-match)
SMS/電子メールOTPデバイス損失と低リスクのためのリザーブとしてのみ
必須:
  • バックアップコード(10 PC。、使い捨て可能)、オフラインストレージ;
  • MFA執行:例外なく管理者アクセスと支払いアクションのため;
  • プッシュで数マッチング、ワンクリックで同意します。

6)セッションポリシーと再認証

デュレーション:Web 12 h(インタラクティブ)、管理コンソール8 h、クリティカルパネル4 h。
アイドルタイムアウト:管理者のための15-30分。
MFAでの再認証:支払い/変更/電子メールの変更/MFA/APIトークンの発行。
装置結合:従業員のためのMDM/registered装置;プレイヤーのために、リスクスコアで信頼できるデバイスを覚えています。

7)認証攻撃に対する保護

資格情報の詰め込み:IP/デバイス/ユーザーベースのレート制限、セキュリティ遅延、行動分析、リークパスワード検証。
ブルートフォース:N障害後のプログレッシブディレイ/キャプチャ;ソフトロック(一時的な)、プレーヤーのための長いロックアウト無し。
パスワードの拡散:異常による検出(1つのパスワードを持つ多くのアカウント)。
MFA疲労:プッシュ要求の制限、数マッチ、ユーザー通知。
ボット/アンチオートメーション:WebAuthnできれば行動信号、TLS固定、管理パネルのmTLS。

8)手順(SOP)

8.1従業員のオンボーディング

1.SCIMによるSSOアカウント。
2.FIDO2キー(最小2:メイン+スタンバイ)とTOTPの発行。

3.パスワードマネージャのインストール

4.トレーニングの証明(フィッシング、MFA)。

8.2デバイス損失/MFAリセット

1.ポータルを通じた自己報告→セッションの一時的なブロック;

2.ドキュメントの検証+スーパーバイザによる確認;

3.新しい要因の解放;

4.30日間のログ監査。

8.3ブレイクガラス(緊急アクセス)

回復のみ;factor: HSM格納マスタートークン+2番目の承認者;≤時間30分;セッションの完全な録音;ポストレビューSecurity+DPO。

8.4プレーヤーパスワードをリセット

チャネル:電子メール/電話、15分≤の1回限りのリンク;リセット後-次のログイン時に必須のMFA設定(ボーナス/モチベーションとソフト強制)。

9)アカウントの異なるカテゴリのルール

9.1従業員/ベンダー

WebAuthn+TOTPが必要です。SMS-MFAの禁止。
MDM デバイス/corp VPNからのみ管理者にアクセスできます。特典エスカレーションのJIT。
ローカル「共有」アカウントの禁止。名前のみ。

9.2人のプレイヤー

MFAソフト強制:動機バナー、インクルージョンボーナス;ハード-高リスクで(支払い/詳細の変更)。
アクセシビリティサポート:キーフレーズ/スクリーンリーダー、フォールバックチャンネル。

9.3 サービスアカウント/API

パスワードはありません。相互認証のみ(mTLS、 OIDC client-creds、 webhookの署名)。
秘密のマネージャーのキー;回転および監査。

10) IdP/SSOとの統合

中央IdP (OIDC/SAML);コードとしてのRBAC。
適応MFA:リスクシグナル(geo/new device/anomalies)によって要因を増幅します。
SCIMプロビジョニング/デプロビジョニング;解雇後15分≤オフボーディング。

11)ロギングと監査

"LOGIN_SUCCESS/FAIL"、 "MFA_ENROLL/VERIFY/FAIL"、 "PASSWORD_RESET_REQUEST/COMPLETE"、 "MFA_RESET ET"、 "DEVICE VICE ICE Y ICE_TRUSY ITE_TR "、 " 追加/削除'、'BREAK_GLASS_START/END'、'ADMIN_LOGIN'、'RISK_UPGRADE'、'TOKEN_ISSUE/REVOKE'。

WORM、署名/ハッシュチェーンでコピーします。'trace_id'、 'actor_id'、 'purpose'へのバインディング。

12)メトリクスとKPI/KRI

MFA採用(従業員):100% WebAuthn、 100% TOTPを予備として。
MFA採用(プレーヤー):6ヶ月で30-50%を≥(市場によって異なります)。
侵害されたログイン:0;境界でブロックされた漏洩したパスワードの試みのシェアは100%です。
オフボードにAVG時間:≤ 15ミリ。
Push fatigue alerts/1000 MAU: MoM。
パスワードリセット成功率:サポートに連絡せずに98% ≥。
再認証カバレッジ:高リスク操作のための100%。

13)ポリシー例(スニペット)

13.1長さとリークチェックポリシー(擬似YAML)

yaml password:
min_length: 14 allow_spaces: true banned_lists:
- top100k_common
- organization_keywords breach_check: enabled  # k-anonymity lookup rotation: on_compromise_only

13.2 MFAの執行

yaml mfa:
required_roles:
- admin
- payments
- aml
- kyc required_factors:
- webauthn fallback:
- totp disallowed:
- sms

13.3敏感な行為のための再認証

yaml reauth:
actions:
- change_payout_details
- approve_withdrawal
- change_email
- manage_mfa ttl_minutes: 5

14)他のコントロールとの関係

RBAC/ABAC/SoD:ロール割り当て/変更、JITリフト、および'APPROVE_'操作にはMFAが必須です。
ログとログストレージ:「監査ログとアクセストレース」「、ログストレージポリシー」を参照してください。
インシデント:妥協が疑われる場合-即時パスワード+トークンリセット、セッションのリコール、フォレンジック(「データ漏洩の手順」を参照)。

15)チェックリスト

認証を解除する前に

  • WebAuthnが有効になり、バックアップとしてTOTP、バックアップコードが発行されます。
  • リークされたパスワードと語彙リストをチェックします。
  • レート制限と資格の詰め物の保護。
  • 敏感な操作のための再認証。
  • SIEMでのログ/監査およびアラート。

四半期ごと

  • MFA受諾分析;プレイヤーのためのA/Bモチベーター。
  • プッシュ疲労ポリシーのレビュー。
  • サービスキーの回転、コショウ/KMSの点検。
  • 演習:FIDO2キーロス、TOTP障害、破断ガラス。

16)実装ロードマップ

週1-2:認証監査、WebAuthnとTOTPの有効化、違反チェックの設定、パスワードポリシーの更新(パスフレーズ)。
週3-4:プッシュ、SIEMアラートで高リスク、数マッチングのための再認証を実装します。FIDO2のキーを従業員に配布します。
月2:適応性のあるMFA(リスクシグナル)、フル機能のパスワードマネージャ、セルフサービスリセットポータル、バックアップコード。
月3+:プレーヤーへのA/B MFAプロモーション、定期的なドリル、UX最適化とMFA疲労軽減、KPIレポート自動化。

TL;DR(ドクター)

強力な認証=パスフレーズ+WebAuthn(必須)+TOTP(リザーブ)+危険なアクションの再認証、詰め物/ブルーート保護、強力なハッシュ(Argon2id)、パスワードマネージャー、各ステップの監査。これにより、アカウントの妥協を減らし、コンプライアンスを簡素化し、正しく行われているとUXをこすりにくくなります。

Contact

お問い合わせ

ご質問やサポートが必要な場合はお気軽にご連絡ください。いつでもお手伝いします!

Telegram
@Gamble_GC
統合を開始

Email は 必須。Telegram または WhatsApp は 任意

お名前 任意
Email 任意
件名 任意
メッセージ 任意
Telegram 任意
@
Telegram を入力いただいた場合、Email に加えてそちらにもご連絡します。
WhatsApp 任意
形式:+国番号と電話番号(例:+81XXXXXXXXX)。

ボタンを押すことで、データ処理に同意したものとみなされます。