GH GambleHub

Парол саясаты жана MFA

1) Максаттары жана иш чөйрөсү

Максаты: кызматкерлердин/өнөктөштөрдүн жана оюнчулардын эсептерин бузуп алуу коркунучун азайтуу, ички коопсуздук стандарттарына жана жөнгө салуучу талаптардын сакталышын камсыз кылуу.
Камтуусу: бардык корпоративдик аккаунттар (SSO/IdP), башкаруу панелдери, төлөм жана KYC консолдору, сервистик/бот аккаунттары, ошондой эле оюнчулардын колдонуучу аккаунттары.

2) Негизги принциптер

Phishing-resistant демейки: FIDO2/WebAuthn ≥ TOTP ≥ Push ≥ SMS/электрондук почта OTP (акыркы - гана fallback катары).
Least Privilege + JIT: артыкчылыктар минималдуу жана убактылуу берилет, MFA жогорулатуу үчүн милдеттүү болуп саналат.
Passwords as last resort: сөз айкаштарын жана сырсөз менеджерлери басым; "эсте каларлык" кыска сырсөздөргө тыюу салуу.
Security by Default: MFA демейки киргизилген; критикалык иш-аракеттер үчүн - re-auth.
Observability: бардык аутентификация/арыздар/таштандылар - аудитордук журналдарда.

3) Паролдор/сөз айкаштары үчүн талаптар

3. 1 Кызматкерлер/администраторлор

Формат: 14 символдон ≥ пасфраза, боштуктарга жол берилет; тыюу салынган "татаалдыгы" түрү 'A1!' - анын ордуна агып текшерүү (жергиликтүү/API-хэш аркылуу have-I-been-pwned-стили).
Кайра пайдалануу: акыркы 10 reuse тыюу салуу, тышкы кызматтар үчүн юридикалык сырсөз тыюу салуу.
Ротация: компромат/тобокелдик болгондо гана; мажбурлап мезгил-мезгили менен алмаштыруу - колдонулбайт (алсыз сырсөздөрдү болтурбоо үчүн).
Сактоо: корпоративдик сырсөздөр менеджеринде гана; MDM профилдеринен тышкары жергиликтүү файлдарды/браузердик автосохранениелерди тыюу салуу.

3. 2 Оюнчулар

Жок дегенде 10-12 белгилер же пасфраз генератору; визуалдык күч көрсөтүү; популярдуу сырсөздөрдүн тизмелеринин блогу.
"Сырсөздү көрсөтүү" жана "менеджерден киргизүү"; стандарттуу эмес чектөөлөрдү (эмодзилерди/символдорду - мүмкүн) таңуулабаңыз.

4) Хеширлөө жана сырлар

Алгоритм: Argon2id (эс ≥ 256 MB, итерация ≥ 3, параллелизм ≥ 1); bcrypt (cost ≥ 12) legacy катары.
Tuz: уникалдуу 16 + жазуу байт. калемпир (pepper): HSM/KMS системалык сыр.
Жаңыртуу: легаси-хэш киргенде ачык-айкын учурдагы профилге "которуу".
Сервистик ачкычтар/API-токендер: "сырсөздөр" эмес - жашыруун менеджер, график боюнча жана инциденттерде ротация аркылуу башкаруу.

5) МФА: факторлор жана артыкчылыктар

ФакторФишингге туруктуулукКайда колдонуу керек
FIDO2/WebAuthn (ачкычтар, TouchID/Windows Hello платформа)жогоркукызматкерлер/администраторлор, оюнчулар үчүн жогорку тобокелдик операциялары
TOTP (RFC 6238)ортокызматкерлер жана оюнчулар (негизги fallback)
Push (тиркемеде ырастоо)ортокызматкерлер/оюнчулар; MFA-fatigue (rate-limit, number-match)
SMS/e-mail OTPтөмөнгана түзмөктү жоготуу жана low-risk үчүн камдык катары
Сөзсүз:
  • резервдик backup коддору (10 даана, бир жолу колдонулуучу), оффлайн сактоо;
  • MFA-enforcement: администрациялык жеткиликтүүлүктөр жана төлөм иш-аракеттери үчүн;
  • Number-matching боюнча push, тыюу салуу "бир чыкылдатуу менен макул".

6) Сессиялар жана re-auth саясаты

узактыгы: Web 12 саат (interactive), башкаруу консолдору 8 саат, критикалык панелдер 4 саат.
Idle timeout: администраторлор үчүн 15-30 мин.
MFA менен Re-auth: төлөөдө/реквизиттерди алмаштырууда/электрондук почтаны/MFAны өзгөртүүдө/API токендерин чыгарууда.
Device binding: MDM/кызматкерлер үчүн катталган түзмөк; оюнчулар үчүн - тобокелдик баалоо менен ишенимдүү түзмөктөрдү эстеп калуу.

7) Аутентификация чабуулдарынан коргоо

Credential stuffing: IP/device/user-based rate-limits, коргоочу кечигүү, жүрүм-турум талдоо, сырсөздөрдү текшерүү.
Brute күч: прогрессивдүү кечигүү/капча кийин N ийгиликсиз; жумшак кулпу (убактылуу), оюнчулар үчүн узак lockout жок.
Password spraying: аномалиялар боюнча детекция (бир сырсөз менен эсеп көп).
MFA-fatigue: push-суроо чеги, number-match, колдонуучуга билдирүүлөр.
Bot/анти-automation: WebAuthn жакшы, жүрүм-турум сигналдары, TLS-бекитүү, башкаруу панелдер үчүн mTLS.

8) Жол-жоболору (SOP)

8. 1 Онбординг кызматкер

1. SCIM аркылуу SSO-эсеп;

2. FIDO2 ачкычын (минимум 2: негизги + резервдик) жана TOTP берүү;

3. пароль менеджерин орнотуу;

4. окутуу тастыктоо (фишинг, MFA).

8. 2 Аппарат жоготуу/MFA чыгаруу

1. Портал аркылуу өз алдынча отчет → сессияларды убактылуу бөгөттөө;

2. документтер боюнча текшерүү + жетекчи аркылуу тастыктоо;

3. жаңы факторлорду чыгаруу;

4. 30 күндүн ичинде кирүү журналын текшерүү.

8. 3 Break-glass (өзгөчө мүмкүнчүлүк)

калыбына келтирүү үчүн гана; фактор: HSM сакталган мастер-токен + экинчи ырастоо; ≤ убактысы 30 мин; сессиянын толук жазуу; пост-review коопсуздук + DPO.

8. 4 оюнчу сырсөздү калыбына келтирүү

Канал: электрондук почта/тел, бир жолу колдонулуучу шилтеме ≤ 15 мин; таштагандан кийин - кийинки кирүүдө милдеттүү түрдө MFA орнотуу (бонус/мотивация менен жумшак мажбурлоо).

9) Ар кандай категориядагы эсептер үчүн эрежелер

9. 1 Кызматкерлер/сатуучулар

Милдеттүү WebAuthn + TOTP; SMS-MFA тыюу салуу.
MDM түзмөктөр/corp-VPN менен гана администраторлорго жетүү; артыкчылыктарын жогорулатуу менен JIT.
Жергиликтүү "жалпы" эсептерге тыюу салуу; гана аталган.

9. 2 Оюнчулар

MFA жумшак мажбурлоо: мотивациялык баннерлер, киргизүү үчүн бонустар; катуу - жогорку тобокелдикте (төлөмдөр/реквизиттерди өзгөртүү).
Жеткиликтүүлүгүн колдоо: негизги сөз айкаштары/экран окурмандары, fallback каналдары.

9. 3 Тейлөө эсептери/API

Сырсөздөрү жок; гана өз ара аутентификация (mTLS, OIDC client-creds, webhook кол).
жашыруун менеджер ачкычтары; ротация жана аудит.

10) IdP/SSO менен бириктирүү

Борбордук IdP (OIDC/SAML); ролдорго топтук шилтеме (RBAC as code).
Adaptive МФА: тобокелдик сигналдары боюнча факторлорду күчөтүү (гео/жаңы аппарат/аномалиялар).
SCIM-провиженинг/де-провиженинг; offboarding ≤ 15 мин кийин бошотуу.

11) Журнал жана аудит

События (аудит-обязательные): `LOGIN_SUCCESS/FAIL`, `MFA_ENROLL/VERIFY/FAIL`, `PASSWORD_RESET_REQUEST/COMPLETE`, `MFA_RESET`, `DEVICE_TRUST_ADD/REMOVE`, `BREAK_GLASS_START/END`, `ADMIN_LOGIN`, `RISK_UPGRADE`, `TOKEN_ISSUE/REVOKE`.

WORM көчүрмөсү, кол/хэш чынжыр; 'trace _ id', 'actor _ id', 'purpose'.

12) Метрика жана KPI/KRI

MFA adoption (кызматкерлери): 100% WebAuthn, 100% резерв катары TOTP.
MFA adoption (оюнчулар): ≥ 30-50% 6 ай (рыногуна жараша).
Compromised logins: 0; периметрде бөгөттөлгөн сырсөздөр менен болгон аракеттердин үлүшү - 100%.
Avg time to offboard: ≤ 15 мин.
Push fatigue alerts/1000 MAU: ↓ MoM.
Password reset success rate: ≥ 98% саппортко кайрылбастан.
Re-auth coverage: 100% жогорку тобокелдик иш үчүн.

13) Саясатчылардын мисалдары (үзүндүлөр)

13. 1 узундугу жана агып текшерүү саясаты (psevdo-YAML)

yaml password:
min_length: 14 allow_spaces: true banned_lists:
- top100k_common
- organization_keywords breach_check: enabled  # k-anonymity lookup rotation: on_compromise_only

13. 2 MFA-enforsment

yaml mfa:
required_roles:
- admin
- payments
- aml
- kyc required_factors:
- webauthn fallback:
- totp disallowed:
- sms

13. 3 сезгич иш-аракеттер үчүн кайра

yaml reauth:
actions:
- change_payout_details
- approve_withdrawal
- change_email
- manage_mfa ttl_minutes: 5

14) Башка контролдор менен байланыш

RBAC/ABAC/SoD: MFA ролдорду дайындоодо/өзгөртүүдө, JIT көтөрүүдө жана 'APPROVE _' операцияларында милдеттүү.
Журналдар жана логдорду сактоо: "Аудитордук журналдар жана кирүү издери", "Логдорду сактоо саясаты".
Инциденттер: компромисске шектенгенде - дароо password + token reset, сессияларды кайра чакыртып алуу, форензия (караңыз: "Маалыматтарды ачыкка чыгаруу процедуралары").

15) Чек баракчалары

Аутентификация чыгарылганга чейин

  • WebAuthn камтылган, камдык катары TOTP, backup коддору берилет.
  • Ачыкка чыккан сырсөздөрдү жана лексикалык тизмелерди текшерүү.
  • Rate-limits жана credential stuffing каршы коргоо.
  • Сезгич иш үчүн кайра-auth.
  • SIEM Логи/аудит жана Алерт.

Чейрек сайын

  • MFA кабыл аналитика; оюнчулар үчүн A/B-түрткү.
  • Ревю политики Push-чарчоо.
  • Тейлөө ачкычтарын айлантуу, калемпир/KMS текшерүү.
  • Машыгуулар: FIDO2 ачкычын жоготуу, TOTP иштебей, break-glass.

16) Ишке ашыруунун жол картасы

Жумалар 1-2: аутентификация аудит, WebAuthn жана TOTP кирет, breach-check, сырсөздөр саясатын жаңыртуу (пасфразалар).
Жумалар 3-4: жогорку-тобокелдик үчүн re-auth киргизүү, push-жылы number-matching, SIEM-алерт; FIDO2 ачкычтарды кызматкерлерге таратууга.
2-ай: адаптивдүү MFA (тобокелдик сигналдары), толук функционалдуу сырсөз менеджери, өзүн-өзү тейлөө, кайра иштетүү порталы, backup коддору.
Ай 3 +: A/B жылдыруу MFA оюнчулар, мезгил-мезгили менен окутуу, UX оптималдаштыруу жана MFA-fatigue кыскартуу, KPI отчеттуулукту автоматташтыруу.

TL; DR

Күчтүү аутентификация = жолдор + WebAuthn (милдеттүү) + TOTP (резерв) + тобокелдик иш-аракеттери үчүн re-auth, stuffing/brute коргоо, ишенимдүү хэширлөө (Argon2id), сырсөз менеджери жана ар бир кадам аудит. Бул эсеп компромисстерди азайтат, талаптарга жооп жөнөкөйлөтөт жана сабаттуу болсо, UX азгырбайт.

Contact

Биз менен байланышыңыз

Кандай гана суроо же колдоо керек болбосун — бизге кайрылыңыз.Биз дайым жардам берүүгө даярбыз!

Telegram
@Gamble_GC
Интеграцияны баштоо

Email — милдеттүү. Telegram же WhatsApp — каалооңузга жараша.

Атыңыз милдеттүү эмес
Email милдеттүү эмес
Тема милдеттүү эмес
Билдирүү милдеттүү эмес
Telegram милдеттүү эмес
@
Эгер Telegram көрсөтсөңүз — Emailден тышкары ошол жактан да жооп беребиз.
WhatsApp милдеттүү эмес
Формат: өлкөнүн коду жана номер (мисалы, +996XXXXXXXXX).

Түшүрүү баскычын басуу менен сиз маалыматтарыңыздын иштетилишине макул болосуз.