GH GambleHub

Құпия саясат және MFA

1) Қолданылу мақсаты мен саласы

Мақсаты: қызметкерлердің/әріптестердің және ойыншылардың есептік жазбаларына кір келтіру тәуекелін төмендету, ішкі қауіпсіздік стандарттарына және реттеуіштер талаптарына сәйкестікті қамтамасыз ету.
Қамту: барлық корпоративтік аккаунттар (SSO/IdP), әкімшілік панельдер, төлем және KYC-консольдар, сервистік/бот-аккаунттар, сондай-ақ ойыншылардың пайдаланушы аккаунттары.

2) Базалық қағидаттар

Әдепкі Phishing-resistant: FIDO2/WebAuthn ≥ TOTP ≥ Push ≥ SMS/e-mail OTP (соңғысы - тек fallback ретінде).
Least Privilege + JIT: артықшылықтар ең аз және уақытша беріледі, MFA арттыру кезінде міндетті.
Passwords as last resort: пасфразаларға және пароль менеджерлеріне назар аудару; «естелік» қысқа құпия сөздерге тыйым салу.
Security by Default: MFA әдепкі бойынша қосылған; сыни әрекеттер үшін - re-auth.
Observability: аутентификацияның/өтінімдердің/төгінділердің барлық оқиғалары - аудиторлық журналдарда.

3) Парольдерге/пасфразаларға қойылатын талаптар

3. 1 Қызметкерлер/әкімшілер

Пішімі: 14 символдан ≥, бос орындарға жол беріледі; 'A1!' түріндегі «күрделілікке» қойылатын талаптарға тыйым салынады - оның орнына ағып кетуді тексеру (have-I-been-pwned-стиль жергілікті/API-хэш арқылы).
Қайта пайдалану: соңғы 10 reuse тыйым салу, сыртқы сервистер үшін корпоративтік парольге тыйым салу.
Ротация: компромисс/тәуекел кезінде ғана; мәжбүрлеп мерзімді ауыстыру - қолданылмайды (әлсіз парольдерді болдырмау үшін).
Сақтау: тек құпия сөздердің корпоративтік менеджерінде; MDM профильдерінен тыс жергілікті файлдарға/шолғыштарға автосақтауға тыйым салу.

3. 2 Ойыншылар

Ең аз дегенде 10-12 символ немесе пасфраза генераторы; күштің көзбен шолу индикациясы; танымал парольдер тізімдерінің блогы.
«Парольді көрсету» және «менеджерден кірістіру» дегенді қосу; стандартты емес шектеулерді (эмодзи/символдар - мүмкін) таңбалау.

4) Хеширлеу және құпиялар

Алгоритм: Argon2id (жады ≥ 256 MB, итерация ≥ 3, параллелизм ≥ 1); bcrypt (cost ≥ 12) легас ретінде алайық.
Тұз: жазуға бірегей 16 + байт. Бұрыш (pepper): HSM/KMS жүйелік құпия.
Жаңарту: легаси-хэштер кіргенде ағымдық пішінге мөлдір түрде «ауыстыру».
Сервистік кілттер/API-токендер: «парольдер» емес - құпия менеджер арқылы басқару, кесте бойынша және инциденттер кезінде ротация.

5) MFA: факторлар мен басымдықтар

ФакторФишингке төзімділікҚайда қолдану керек
FIDO2/WebAuthn (кілттер, TouchID/Windows Hello платформасы)биікқызметкерлер/әкімшіліктер, ойыншыларда high-risk операциялары
TOTP (RFC 6238)орташа есеппенқызметкерлер мен ойыншылар (негізгі fallback)
Push (бағдарламада растау)орташа есеппенқызметкерлер/ойыншылар; MFA-fatigue (rate-limit, number-match) ден қорғалу
SMS/e-mail OTPтөменқұрылғыны жоғалту кезіндегі және low-risk үшін резерв ретінде ғана
Міндетті түрде:
  • резервтік backup-кодтар (10 дана, бір рет пайдаланылатын), офлайн сақтау;
  • MFA-enforcement: әкімшілік қол жеткізу және төлем әрекеттері үшін;
  • Number-matching в push, тыйым «бір басу арқылы келісуге».

6) Сессиялар мен re-auth саясаты

Ұзақтығы: web 12 сағ (интерактив), әкімшілік-консольдар 8 сағ, сындарлы панельдер 4 сағ.
Idle timeout: әкімшілер үшін 15-30 мин.
MFA бар Re-auth: төлемдер/деректемелерді ауыстыру/e-mail/MFA өзгеруі/API токендерін беру кезінде.
Device binding: MDM/қызметкерлер үшін тіркелген құрылғы; ойыншылар үшін - тәуекел-бағасы бар сенімді құрылғыларды есте сақтау.

7) Аутентификацияға шабуылдардан қорғау

Credential stuffing: IP/device/user-based rate-limits, қорғаныс кідірістері, мінез-құлық талдауы, құпия сөздерді тексеру.
Brute force: N сәтсіздіктен кейінгі прогрессивті кідірістер/капча; ойыншылар үшін ұзақ lockout жоқ жұмсақ бұғаттау (уақытша).
Password spraying: аномалиялар бойынша детекция (бір паролі бар көптеген аккаунттар).
MFA-fatigue: push-сұрау лимиті, number-match, пайдаланушыға хабарламалар.
Bot/anti-automation: WebAuthn мінез-құлық сигналдары, TLS бекіту, әкімшілік панельдер үшін mTLS артықшылықты.

8) Рәсімдер (SOP)

8. 1 Қызметкердің онбордингі

1. SCIM арқылы SSO-аккаунт;

2. FIDO2-кілтін (минимум 2: негізгі + резервтік) және TOTP беру;

3. пароль менеджерін орнату;

4. оқуды растау (фишинг, MFA).

8. 2 MFA құрылғысын жоғалту/тастау

1. Портал арқылы өздігінен есеп беру → сессияларды уақытша бұғаттау;

2. құжаттар бойынша верификация + басшы арқылы растау;

3. жаңа факторлар шығару;

4. кіру журналының 30 күн ішіндегі аудиті.

8. 3 Break-glass (авариялық қолжетімділік)

Тек қалпына келтіру үшін; фактор: HSM сақталатын мастер-токен + екінші бекіту; ≤ уақыты 30 мин; сессияның толық жазбасы; Security + DPO пост-ревю.

8. 4 Ойыншының құпия сөзін ысыру

Арна: e-mail/телефон, бір реттік сілтеме ≤ 15 мин; тастағаннан кейін - келесі кіру кезінде міндетті түрде MFA баптау (бонуспен/уәждемемен жұмсақ мәжбүрлеу).

9) Есепке алудың әртүрлі санаттарына арналған ережелер

9. 1 Қызметкерлер/вендорлар

WebAuthn + TOTP міндетті; SMS-MFA тыйым салу.
Әкімшіге MDM құрылғыларынан/corp-VPN-тен ғана қол жеткізу; Артықшылықтарды арттыру кезінде JIT.
Жергілікті «ортақ» аккаунттарға тыйым салу; тек аталғандары ғана.

9. 2 Ойыншылар

MFA жұмсақ мәжбүрлі: ынталандыру баннерлері, қосу үшін бонустар; қатаң - high-risk кезінде (төлемдер/деректемелерді ауыстыру).
Қол жетімділікті қолдау: негізгі сөйлемдер/экрандық оқырмандар, fallback арналары.

9. 3 Сервистік шоттар/API

Құпия сөзсіз; тек өзара аутентификация (mTLS, OIDC client-creds, вебхуктардың қолтаңбасы).
Құпия менеджердегі кілттер; ротация және аудит.

10) IdP/SSO интеграциясы

Орталық IdP (OIDC/SAML); рөлдерге топтық байланыстыру (RBAC as code).
Adaptive MFA: тәуекел сигналдары бойынша факторларды күшейту (гео/жаңа құрылғы/аномалиялар).
SCIM-провиженинг/де-провиженинг; offboarding ≤ жұмыстан босатылғаннан кейін 15 мин.

11) Журналға түсіру және аудит

События (аудит-обязательные): `LOGIN_SUCCESS/FAIL`, `MFA_ENROLL/VERIFY/FAIL`, `PASSWORD_RESET_REQUEST/COMPLETE`, `MFA_RESET`, `DEVICE_TRUST_ADD/REMOVE`, `BREAK_GLASS_START/END`, `ADMIN_LOGIN`, `RISK_UPGRADE`, `TOKEN_ISSUE/REVOKE`.

WORM көшірмесі, қолы/хэш-тізбегі; 'trace _ id', 'actor _ id', 'purpose' байланыстыру.

12) Метрика және KPI/KRI

MFA adoption (қызметкерлер): 100% WebAuthn, 100% TOTP резерв ретінде.
MFA adoption (ойыншылар): ≥ 30-50% 6 ай (нарыққа байланысты).
Compromised logins: 0; периметрде құлыпталған құпия сөздері бар әрекеттердің үлесі - 100%.
Avg time to offboard: ≤ 15 мин.
Push fatigue alerts/1000 MAU: ↓ MoM.
Password reset success rate: ≥ 98% саппортқа жүгінбестен.
Re-auth coverage: 100% high-risk операциялары үшін.

13) Саясаттың мысалдары (үзінділер)

13. 1 Ұзындық саясаты және жылыстауды тексеру (псевдо-YAML)

yaml password:
min_length: 14 allow_spaces: true banned_lists:
- top100k_common
- organization_keywords breach_check: enabled  # k-anonymity lookup rotation: on_compromise_only

13. 2 MFA-энфорсмент

yaml mfa:
required_roles:
- admin
- payments
- aml
- kyc required_factors:
- webauthn fallback:
- totp disallowed:
- sms

13. 3 сезімтал әрекеттерге арналған Re-auth

yaml reauth:
actions:
- change_payout_details
- approve_withdrawal
- change_email
- manage_mfa ttl_minutes: 5

14) Басқа бақылаулармен өзара байланыс

RBAC/ABAC/SoD: MFA рөлдерді тағайындау/өзгерту, JIT-көтеру және 'APPROVE _' операциялары кезінде міндетті.
Журналдар және логдарды сақтау: «Аудиторлық журналдар және қол жеткізу іздері», «Логтарды сақтау саясаты».
Тосын оқиғалар: компрометацияға күдік туындаған кезде - дереу password + token reset, сессияларды кері қайтару, форензия («Деректердің жылыстауы кезіндегі рәсімдерді» қараңыз).

15) Чек парақтары

Аутентификацияны шығару алдында

  • WebAuthn қосылған, TOTP резерв ретінде, backup кодтары беріледі.
  • Құпия сөздерді және лексикалық тізімдерді тексеру.
  • Rate-limits және credential stuffing қорғанысы.
  • Сезімтал операциялар үшін Re-auth.
  • SIEM-дегі логи/аудит және тәуекелдер.

Тоқсан сайын

  • MFA-қабылдау талдауы; Ойыншыларға арналған A/B-мотиваторлар.
  • Push-шаршау саясатының өрбуі.
  • Сервистік кілттерді ротациялау, бұрышты/KMS тексеру.
  • Жаттығулар: FIDO2 кілтінің жоғалуы, TOTP, break-glass істен шығуы.

16) Енгізу жол картасы

1-2 апталар: аутентификация аудиті, WebAuthn және TOTP қосыңыз, breach-check баптаңыз, пароль саясатын жаңартыңыз (пасфразалар).
3-4 апталар: high-risk, number-matching үшін push, SIEM-алерталар үшін re-auth енгізу; қызметкерлерге FIDO2 кілттерді тарату.
2-ай: бейімделетін MFA (тәуекел сигналдары), толық функционалды құпия сөз менеджері, self-service қалпына келтіру порталы, backup-кодтар.
Ай 3 +: A/B ойыншылар MFA ілгерілету, кезеңдік жаттығулар, UX оңтайландыру және MFA-fatigue төмендету, KPI есептілікті автоматтандыру.

TL; DR

Күшті аутентификация = пасфразалар + WebAuthn (міндетті) + TOTP (резерв) + re-auth тәуекелді іс-қимылдар үшін, stuffing/brute-ден қорғау, сенімді хэштеу (Argon2id), құпия сөз менеджері және әрбір қадамның аудиті. Бұл аккаунттардың ымыраға келуін азайтады, талаптарға сәйкестікті жеңілдетеді және егер сауатты жасасаңыз UX-ті жоғалтпайды.

Contact

Бізбен байланысыңыз

Кез келген сұрақ немесе қолдау қажет болса, бізге жазыңыз.Біз әрдайым көмектесуге дайынбыз!

Telegram
@Gamble_GC
Интеграцияны бастау

Email — міндетті. Telegram немесе WhatsApp — қосымша.

Сіздің атыңыз міндетті емес
Email міндетті емес
Тақырып міндетті емес
Хабарлама міндетті емес
Telegram міндетті емес
@
Егер Telegram-ды көрсетсеңіз — Email-ге қоса, сол жерге де жауап береміз.
WhatsApp міндетті емес
Пішім: +ел коды және номер (мысалы, +7XXXXXXXXXX).

Батырманы басу арқылы деректерді өңдеуге келісім бересіз.