GH GambleHub

Polityka hasła i MSZ

1) Cele i zakres

Cel: zmniejszenie ryzyka zagrażania rachunkom pracowników/partnerów i podmiotów, zapewnienie zgodności z wewnętrznymi standardami bezpieczeństwa i wymogami regulacyjnymi.
Zasięg: wszystkie konta korporacyjne (SSO/IdP), panele administratora, konsole płatnicze i KYC, konta usługowe/bot, a także konta użytkowników graczy.

2) Podstawowe zasady

Domyślnie odporny na phishingi: FIDO2/WebAuthn ≥ TOTP ≥ Push ≥ SMS/e-mail OTP (ten ostatni - tylko jako awaryjny).
Najmniejszy przywilej + JIT: Przywileje są przyznawane minimalnie i tymczasowo, MFA jest obowiązkowe po awansie.
Hasła w ostateczności: nacisk na paszporty i menedżerów haseł; zakaz „pamiętnych” krótkich haseł.
Domyślne zabezpieczenie: MFA jest domyślnie włączony; w przypadku działań krytycznych - ponowne uruchomienie.
Obserwacja: wszystkie zdarzenia uwierzytelniania/aplikacji/resetowania - w dziennikach audytu.

3) Wymagania dotyczące hasła/paszportu

3. 1 Pracownicy/administratorzy

Format: hasło ≥ 14 znaków, miejsca są dozwolone; wymogi „złożoności”, takie jak „A1!” Są zabronione - zamiast tego sprawdzanie nieszczelności (mieć-I-były-pwned-styl lokalnie/poprzez hash API).
Ponowne użycie: zakaz ponownego używania ostatnich 10, zakaz stosowania hasła korporacyjnego dla usług zewnętrznych.
Rotacja: tylko w przypadku naruszenia/zagrożenia; wymuszona zmiana okresowa - nie ma zastosowania (w celu uniknięcia słabych haseł).
Przechowywanie: tylko w firmowym menedżerze haseł; Zabrania autosaves plików lokalnych/przeglądarki poza profilami MDM.

3. 2 Gracze

Minimum 10-12 znaków lub generator haseł; wizualne wskazanie siły; blok popularnych list haseł.
Włącz „pokaż hasło” i „insert from manager”; nie nakładaj niestandardowych ograniczeń (emoji/znaki - możesz).

4) Hashing i tajemnice

Algorytm: Argon2id (pamięć ≥ 256 MB, iteracje ≥ 3, paralelizm ≥ 1); niech bcrypt (koszt ≥ 12) być legalne.
Sól: wyjątkowy 16 + bajty na pismo. Pieprz: Tajemnica systemu w HSM/KMS.
Aktualizacja: podczas logowania, hasła prawne są przejrzyste „re-hash” do bieżącego profilu.
Klucze serwisowe/tokeny API: nie „hasła” - zarządzać za pomocą tajnego menedżera, rotacji w harmonogramie i w przypadku incydentów.

5) Pomoc makrofinansowa: czynniki i priorytety

CzynnikOdporność na phishingiGdzie stosować
FIDO2/WebAuthn (klucze, platforma TouchID/Windows Witaj)wysokipracownicy/administratorzy, operacje wysokiego ryzyka u graczy
TOTP (RFC 6238)średniapracownicy i gracze (główny upadek)
Push (potwierdzenie w aplikacji)średniapracownicy/gracze; ochrona przed zmęczeniem MSZ (ograniczenie tempa, dopasowanie numeru)
SMS/e-mail OTPniskietylko jako rezerwa na utratę urządzenia i na niskie ryzyko
Obowiązek:
  • kody zapasowe (10 szt., jednorazowe), pamięć offline;
  • Egzekwowanie MSZ: w przypadku działań w zakresie dostępu administratora i płatności bez wyjątku;
  • Dopasowanie liczby w push, jedno kliknięcie zgadza.

6) Polityka sesyjna i ponowne uruchomienie

Czas trwania: web 12 h (interaktywny), konsola administracyjna 8 h, panele krytyczne 4 h.
Czas bezczynności: 15-30 min dla administratorów.
Ponowne uruchomienie MSZ: przy płaceniu/zmianie szczegółów/zmianie e-mail/MFA/wydaniu żetonów API.
Wiązanie urządzenia: MDM/zarejestrowane urządzenie dla pracowników; dla graczy, pamiętanie zaufanych urządzeń z wynikiem ryzyka.

7) Ochrona przed atakami uwierzytelniającymi

Przechowywanie danych: IP/device/user-based rate-limits, delays security, behavioral analysis, leaked password verification.
Brutalna siła: progresywne opóźnienia/captcha po awariach N; miękkie zamki (tymczasowe), bez długiej blokady dla graczy.
Rozprzestrzenianie hasła: wykrywanie przez anomalie (wiele kont z jednym hasłem).
MFA-zmęczenie: push limit żądania, numer-match, powiadomienia użytkownika.
Bot/anti-automation: WebAuthn najlepiej sygnały behawioralne, TLS-fixation, mTLS dla paneli administratora.

8) Procedury (SOP)

8. 1 Wejście na pokład pracownika

1. konto SSO za pośrednictwem SCIM;

2. emisja klucza FIDO2 (minimum 2: główne + stan gotowości) i TOTP;

3. Instalacja menedżera haseł

4. dowód szkolenia (phishing, MFA).

8. 2 Utrata urządzenia/reset MFA

1. Self-report poprzez portal → tymczasowe blokowanie sesji;

2. weryfikacja dokumentów + potwierdzenie za pośrednictwem organu nadzoru;

3. uwalnianie nowych czynników;

4. 30-dniowy audyt dziennika.

8. 3 Break-glass (dostęp awaryjny)

Tylko odzyskiwanie; współczynnik: token główny przechowywany przez HSM + drugi approver; ≤ czas 30 min; pełne nagranie sesji; po przeglądzie Bezpieczeństwo + DPO.

8. 4 Zresetuj hasło gracza

Kanał: e-mail/telefon, łącze jednorazowe ≤ 15 minut; po resetowaniu - obowiązkowe ustawienie MFA przy następnym logowaniu (miękki przymus z bonusem/motywacją).

9) Zasady dotyczące różnych kategorii rachunków

9. 1 Pracownicy/sprzedawcy

WebAuthn + TOTP jest wymagany; zakazanie SMS-MFA.
Dostęp do administratorów tylko z urządzeń MDM/corp VPN; JIT w sprawie eskalacji przywilejów.
Zakaz rachunków lokalnych „dzielonych”; tylko o nazwie.

9. 2 Gracze

MSZ soft-forced: banery motywacyjne, premie integracyjne; ciężko - na wysokie ryzyko (płatności/zmiana szczegółów).
Obsługa dostępności: kluczowe frazy/czytniki ekranu, kanały awaryjne.

9. 3 Konta usług/interfejsy API

Brak haseł; tylko wzajemne uwierzytelnianie (mTLS, OIDC client-creds, podpis haków webowych).
Klucze w tajnym menedżerze; rotacja i audyt.

10) Integracja z IdP/SSO

Centralny IdP (OIDC/SAML); RBAC jako kod.
MSZ adaptacyjne: wzmacnianie czynników przez sygnały ryzyka (geo/nowe urządzenie/anomalie).
Rezerwa SCIM/odłogowanie; offboarding ≤ 15 min po zwolnieniu.

11) Pozyskiwanie drewna i audyt

Советий (абидова тателкна): "LOGIN _ SUCCESS/FAIL", "MFA _ ENROLL/VERIFY/FAIL", "PASSWORD _ RESET _ REQUEST/COMPLETE", "MFA _ RESET ',' DEVICE _ TRUST _ ADD/REMOVE ',' BREAK _ GLASS _ START/END ',' ADMIN _ LOGIN ',' RISK _ UPGRADE ',' TOKEN _ ISSUE/REVOKE '.

Kopia w WORM, łańcuch podpisu/hash; powiązanie z 'trace _ id',' actor _ id', 'purpose'.

12) Mierniki i KPI/KRI

Adopcja MSZ (pracownicy): 100% WebAuthn, 100% TOTP jako rezerwa.
Adopcja pomocy makrofinansowej (zawodnicy): ≥ 30-50% w ciągu 6 miesięcy (w zależności od rynku).
Kompromisowe logowania: 0; Udział prób z wyciekającymi hasłami zablokowanymi na obwodzie wynosi 100%.
Avg czas do offboard: ≤ 15 мий.

Push alerty zmęczeniowe/1000 MAU:
  • Wskaźnik sukcesu resetowania hasła: ≥ 98% bez kontaktu z obsługą.
  • Pokrycie reauth: 100% dla operacji wysokiego ryzyka.

13) Przykłady polityki (snippets)

13. 1 Polityka sprawdzania długości i nieszczelności (pseudo-YAML)

yaml password:
min_length: 14 allow_spaces: true banned_lists:
- top100k_common
- organization_keywords breach_check: enabled  # k-anonymity lookup rotation: on_compromise_only

13. 2 MSZ - egzekwowanie

yaml mfa:
required_roles:
- admin
- payments
- aml
- kyc required_factors:
- webauthn fallback:
- totp disallowed:
- sms

13. 3 Powrót do działań wrażliwych

yaml reauth:
actions:
- change_payout_details
- approve_withdrawal
- change_email
- manage_mfa ttl_minutes: 5

14) Związek z innymi kontrolami

RBAC/ABAC/SoD: MFA jest obowiązkowa dla zadań/zmian, dźwigów JIT i operacji 'APPROVE _'.
Dzienniki i przechowywanie dzienników: patrz „Dzienniki audytu i ślady dostępu”, „Zasady przechowywania dzienników”.
Incydenty: jeśli podejrzewa się kompromis - natychmiastowe hasło + reset tokena, odwołanie sesji, badania sądowe (patrz „Procedury wycieku danych”).

15) Listy kontrolne

Przed wydaniem uwierzytelnienia

  • WebAuthn jest włączony, TOTP jako kopia zapasowa, kody kopii zapasowych są wydawane.
  • Kontrole wycieków haseł i list leksykalnych.
  • Limity stawek i ochrona przed nadziewaniem.
  • Ponowne uruchomienie operacji wrażliwych.
  • Dzienniki/audyty i wpisy w SIEM.

Kwartalny

  • Analizy akceptacji MFA; Motywatory A/B dla graczy.
  • Przegląd polityki w zakresie zmęczenia.
  • Rotacja klucza serwisowego, kontrola pieprzu/KMS.
  • Ćwiczenia: FIDO2 key loss, TOTP failure, break-glass.

16) Plan działania w zakresie wdrażania

Tygodnie 1-2: audyt uwierzytelniania, włącz WebAuthn i TOTP, skonfiguruj sprawdzanie naruszeń, aktualizuj zasady haseł (hasło).
Tygodnie 3-4: wdrożyć ponowne auth dla wysokiego ryzyka, dopasowanie liczby w push, wpisy SIEM; dystrybucja FIDO2 kluczy do pracowników.
Miesiąc 2: adaptacyjny MFA (sygnały ryzyka), pełnowartościowy menedżer haseł, portal samoobsługowy, kody kopii zapasowych.
Miesiąc 3 +: Promocja A/B MFA dla graczy, okresowe wiertarki, optymalizacja UX i redukcja zmęczenia MFA, automatyzacja raportowania KPI.

TL; DR

Silne uwierzytelnianie = hasła + WebAuthn (wymagane) + TOTP (rezerwa) + ponowne auth dla ryzykownych działań, nadziewanie/ochrona brutto, silne hashing (Argon2id), menedżer haseł i audyt każdego kroku. Zmniejsza to kompromisy na koncie, upraszcza zgodność i prawie nie czyni UX poprawnie.

Contact

Skontaktuj się z nami

Napisz do nas w każdej sprawie — pytania, wsparcie, konsultacje.Zawsze jesteśmy gotowi pomóc!

Telegram
@Gamble_GC
Rozpocznij integrację

Email jest wymagany. Telegram lub WhatsApp są opcjonalne.

Twoje imię opcjonalne
Email opcjonalne
Temat opcjonalne
Wiadomość opcjonalne
Telegram opcjonalne
@
Jeśli podasz Telegram — odpowiemy także tam, oprócz emaila.
WhatsApp opcjonalne
Format: kod kraju i numer (np. +48XXXXXXXXX).

Klikając przycisk, wyrażasz zgodę na przetwarzanie swoich danych.