GH GambleHub

비밀번호 정책 및 MFA

1) 목표와 범위

목표는 직원/파트너 및 플레이어의 계정을 손상시킬 위험을 줄이고 내부 보안 표준 및 규제 요구 사항을 준수하도록하는 것입니다.
적용 범위: 모든 회사 계정 (SSO/IdP), 관리자 패널, 결제 및 KYC 콘솔, 서비스/봇 계정 및 플레이어의 사용자 계정.

2) 기본 원칙

기본적으로 피싱 방지: FIDO2/WebAuthn

최소 특권 + JIT: 특권은 최소한의 일시적으로 부여되며 MFA는 승진시 필수입니다.
최후의 수단으로서의 암호: 문구 및 암호 관리자에 대한 강조; "기억에 남는" 짧은 암호 금지.

기본값으로 보안: MFA는 기본적으로 활성화됩니다. 중요한 행동을 위해-re-

관찰: 감사 로그의 모든 인증/응용 프로그램/재설정 이벤트.

3) 비밀번호/비정규 요구 사항

3. 직원 1 명/광고

형식: 페이스 프레이즈 14 자리, 공간이 허용됩니다. 'A1!' 과 같은 "복잡성" 요구 사항 대신 누출 확인 (로컬/API 해시를 통한 로컬 스타일 포함) 이 금지됩니다.
재사용: 지난 10 년간의 재사용 금지, 외부 서비스에 대한 회사 비밀번호 금지.
회전: 손상/위험에 처한 경우에만; 강제 주기적 변경-약한 암호를 피하기 위해 적용되지 않습니다.
스토리지: 회사 암호 관리자에서만; MDM 프로필 외부의 로컬 파일/브라우저 오토 사브 금지.

3. 2 명

최소 10-12 자 또는 암호 생성기; 힘의 시각적 표시; 인기있는 비밀번호 목록 블록.
"비밀번호 보이기" 및 "관리자의 삽입" 사용; 비표준 제한을 적용하지 마십시오 (이모티콘/문자-가능).

4) 해싱과 비밀

알고리즘: Argon2id (메모리 계수 256MB, 반복 계수 3, 병렬 처리 bcrypt (12 비용 이상) 를 합법화하십시오.
소금: 쓰기 당 고유 한 16 + 바이트. 후추: HSM/KMS의 시스템 비밀.
업데이트: 로그인 할 때 법적 해시는 현재 프로필에 투명하게 "재 해시" 됩니다.
"암호" 가 아닌 서비스 키/API 토큰-비밀 관리자를 통해 관리, 일정 및 사고시 교체.

5) MFA: 요소와 우선 순위

요인피싱 저항신청할 곳
FIDO2/WebAuthn (키, TouchID/Windows Hello 플랫폼)높은직원/광고, 플레이어의 고위험 운영
TOTP (RFC 6238)평균직원 및 플레이어 (주 대체)
푸시 (응용 프로그램의 확인)평균직원/플레이어; MFA 피로 방지 (속도 제한, 숫자 일치)
SMS/이메일 OTP낮음장치 손실 및 저 위험에 대한 예약으로 만
필수:
  • 백업 코드 (10 pcs., 일회용), 오프라인 스토리지;
  • MFA 집행: 예외없이 관리자 액세스 및 지불 작업;
  • 푸시 번호 일치, 한 번의 클릭으로 동의합니다.

6) 세션 정책 및 재조정

기간: 웹 12 시간 (대화식), 관리자 콘솔 8 시간, 중요 패널 4 시간

유휴 시간 초과: 관리자의 경우 15-30 분

MFA로 다시 조정: 세부 정보를 지불/변경/전자 메일/MFA/발행 API 토큰.

장치 바인딩: 직원을위한 MDM/등록 장치; 플레이어에게는 위험 점수를 가진 신뢰할 수있는 장치를 기억하

7) 인증 공격으로부터 보호

신뢰성 스터핑: IP/장치/사용자 기반 속도 제한, 보안 지연, 행동 분석, 유출 된 암호 확인.
잔인한 힘: N 고장 후 점진적 지연/캡차; 소프트 잠금 장치 (임시), 플레이어를위한 긴 잠금이 없습니다.
비밀번호 확산: 이상에 의한 탐지 (하나의 비밀번호가있는 많은 계정).
MFA 피로: 푸시 요청 제한, 번호 일치, 사용자 알림.
봇/자동화 방지: WebAuthn은 바람직하게는 관리 패널을위한 행동 신호, TLS 고정, mTLS입니다.

8) 절차 (SOP)

8. 직원 1 명 탑승

1. SCIM을 통한 SSO 계정;

2. FIDO2 키 발급 (최소 2: 메인 + 대기) 및 TOTP;

3. 암호 관리자 설치

4. 훈련 증명 (피싱, MFA).

8. 2 장치 손실/MFA 재설정

1. 포털을 통한 자체보고 → 세션의 임시 차단;

2. 감독자를 통한 문서 확인 + 확인;

3. 새로운 요소의 출시;

4. 30 일의 로그 감사.

8. 3 브레이크 글래스 (비상 액세스)

회복 만; 요인: HSM에 저장된 마스터 토큰 + 두 번째 승인자; 계정 시간 30 분; 세션의 전체 기록; 검토 후 보안 + DPO.

8. 4 플레이어 암호 재설정

채널: 전자 메일/전화, 일회성 링크 재설정 후-다음 로그인시 필수 MFA 설정 (보너스/동기 부여가있는 소프트 강제).

9) 계정의 다른 범주에 대한 규칙

9. 1 명의 직원/공급 업체

WebAuthn + TOTP가 필요합니다. SMS-MFA 금지.
MDM 장치/corp VPN에서만 admins에 액세스; 특권 확대에 관한 JIT.
로컬 "공유" 계정 금지; 이름 만.

9. 2 명

MFA 소프트 강제: 동기 부여 배너, 포함 보너스; 어려운-고위험 (세부 사항의 지불/변경).
접근성 지원: 주요 문구/화면 판독기, 대체 채널.

9. 3 개의 서비스 계정/API

암호가 없습니다. 상호 인증 전용 (mSL, OIDC 클라이언트 크리드, 웹 후크 서명).
비밀 관리자의 키; 회전 및 감사.

10) IdP/SSO와의 통합

중앙 IdP (OIDC/SAML); 코드로서의 RBAC.
적응 형 MFA: 위험 신호 (지리/새로운 장치/이상) 에 의한 요소를 증폭시킵니다.
SCIM 프로비저닝/프로비저닝; 해고 후 15 분 오프 보드.

11) 로깅 및 감사

'LOGIN _ SUCCESS/FAIL', 'MFA _ ENROLL/VERIFY/FAIL', 'PASSWORD _ REQUEST/COMPLETE', 'MFA _ REUST _ TREUST _ TREET', 'MFA _ REUST', 디바이스 '/REMOVE ',' BREAK _ GLASS _ START/END ',' ADMIN _ LOGIN ',' RISK _ UPGRADE ',' TOKEN _ ISSue/REVOKE '.

WORM으로 복사, 서명/해시 체인; 'trace _ id', 'actor _ id', 'porture' 에 바인딩합니다.

12) 지표 및 KPI/KRI

MFA 채택 (직원): 100% WebAuthn, 100% TOTP 준비금.
MFA 채택 (플레이어): 6 개월 동안 30-50% 이상 (시장에 따라 다름).
타협 한 로그인: 0; 주변에서 유출 된 암호로 시도한 비율은 100% 입니다.
오프 보드 시간은 다음과 같습니다.
피로 경고/1000 MAU: ° MoM.

비밀번호 재설정 성공률: 지원에 연락하지 않고 98% 이상

재조정 범위: 고위험 작업의 경우 100%.

13) 정책 예 (스 니펫)

13. 1 길이 및 누출 확인 정책 (의사 -YAML)

yaml password:
min_length: 14 allow_spaces: true banned_lists:
- top100k_common
- organization_keywords breach_check: enabled  # k-anonymity lookup rotation: on_compromise_only

13. 2 MFA 집행

yaml mfa:
required_roles:
- admin
- payments
- aml
- kyc required_factors:
- webauthn fallback:
- totp disallowed:
- sms

13. 민감한 행동에 대한 재조정

yaml reauth:
actions:
- change_payout_details
- approve_withdrawal
- change_email
- manage_mfa ttl_minutes: 5

14) 다른 컨트롤과의 관계

RBAC/ABAC/SoD: 역할 할당/변경, JIT 리프트 및 'APPROVE _' 작업에는 MFA가 필수입니다.
로그 및 로그 스토리지: "감사 로그 및 액세스 추적", "로그 스토리지 정책" 을 참조하십시오.
사건: 타협이 의심되는 경우 즉시 암호 + 토큰 재설정, 세션 리콜, 법의학 ("데이터 유출 절차" 참조).

15) 점검표

인증을 공개하기 전에

  • WebAuthn이 활성화되고 TOTP가 백업으로, 백업 코드가 발행됩니다.
  • 유출 된 비밀번호 및 어휘 목록을 확인하십시오.
  • 요율 제한 및 자격 증명 채우기 보호.
  • 민감한 작업에 대해 다시 조정합니다.
  • SIEM의 로그/감사 및 경고.

분기 별

  • MFA 수용 분석; 플레이어를위한 A/B 동기 부여.
  • 푸시 피로 정책 검토.
  • 서비스 키 회전, 후추/KMS 확인.
  • 운동: FIDO2 키 손실, TOTP 고장, 브레이크 글래스.

16) 구현 로드맵

1-2 주: 인증 감사, WebAuthn 및 TOTP 활성화, 위반 확인 설정, 암호 정책 업데이트 (암호).
3-4 주차: 고위험, 푸시 매칭 수, SIEM 경고에 대한 재조정을 구현합니다. FIDO2 키를 직원에게 배포합니다.
2 월: 적응 형 MFA (위험 신호), 전체 기능을 갖춘 암호 관리자, 셀프 서비스 재설정 포털, 백업 코드.
3 개월 이상: 플레이어에게 A/B MFA 프로모션, 주기적 드릴, UX 최적화 및 MFA 피로 감소, KPI보고 자동화.

TL; DR

강력한 인증 = 패스프레이즈 + WebAuthn (필요) + TOTP (예비) + 위험한 동작, 먹거리/무차별 보호, 강력한 해싱 (Argon2id), 암호 관리자 및 각 단계의 감사에 대한 재조정. 이는 계정 타협을 줄이고 규정 준수를 단순화하며 올바르게 수행하면 UX를 거의 문지르지 않습니다.

Contact

문의하기

질문이나 지원이 필요하시면 언제든지 연락하십시오.우리는 항상 도울 준비가 되어 있습니다!

Telegram
@Gamble_GC
통합 시작

Email — 필수. Telegram 또는 WhatsApp — 선택 사항.

이름 선택 사항
Email 선택 사항
제목 선택 사항
메시지 선택 사항
Telegram 선택 사항
@
Telegram을 입력하시면 Email과 함께 Telegram에서도 답변드립니다.
WhatsApp 선택 사항
형식: +국가 코드 + 번호 (예: +82XXXXXXXXX).

버튼을 클릭하면 데이터 처리에 동의하는 것으로 간주됩니다.