GH GambleHub

Política de senhas e MFA

1) Alvos e alcance

O objetivo é reduzir o risco de comprometimento de contas de funcionários/parceiros e jogadores e garantir que os padrões internos de segurança e reguladores estejam em conformidade.
Abrangência: todas as contas corporativas (SSO/IdP), painéis admins, consoles de pagamento e KYC, contas de serviço/bot e contas de usuário dos jogadores.

2) Princípios básicos

Phishing-resistant padrão: FIDO2/WebAuthn ≥ TOTP ≥ Push ≥ SMS/e-mail OTP (último apenas como fallback).
Least Privilege + JIT: Privilégios são concedidos de forma mínima e temporária, MFA obrigatório no aumento.
Passwords as last resort: foco em pasfrass e gerentes de senhas; a proibição de senhas curtas «memoráveis».
Segurança by Default: MFA ativado por padrão; para ações críticas - re-auth.
Observabilidade: Todos os eventos de autenticação/solicitação/reversão estão nos registros de auditoria.

3) Requisitos de senhas/pasfrass

3. 1 Funcionários/adminos

Formato: pasfrase ≥ 14 caracteres, com espaços permitidos; são proibidas as exigências de «complexidade» do tipo «A1!» - em vez disso, a verificação de vazamentos (have-I-been-pwned estilo local/via API-hash).
Reutilização: proibição de reuse dos últimos 10, proibição de senha corporativa para serviços externos.
Rotatividade: apenas em caso de comprometimento/risco; mudança periódica compulsória - não aplicada (para evitar senhas fracas).
Armazenamento: somente no gestor de senhas da empresa; não permitir arquivos locais/armazenamento de automóveis fora dos perfis MDM.

3. 2 Jogadores

Mínimo de 10 a 12 caracteres ou gerador de pasfraz; o indicador visual da força; bloco de listas de senhas populares.
Incluir «mostrar a senha» e «inserir a partir do gerente»; não impor restrições não convencionais (emojis/caracteres - é possível).

4) Hasteamento e segredos

Algoritmo: Argon2id (memória ≥ 256 MB, iterações ≥ 3, paralelismo ≥ 1); digamos que bcrypt (≥ 12) como legasi.
Sal: único 16 + bytes por gravação. Pimenta (pepper): segredo de sistema no HSM/KMS.
Atualização: ao entrar, o logashi-hash é transparente para o perfil atual.
Chaves de serviço/API de token: não «senhas» - gerenciamento através de gerenciamento de segredo, rotação programada e em casos de incidentes.

5) MFA: fatores e prioridades

FatorResistência ao phishingOnde aplicar
FIDO2/WebAuthn (chaves, plataforma TouchID/Windows Hello)altafuncionários/admins, alta-risk operações em jogadores
TOTP (RFC 6238)médiofuncionários e jogadores (principal fallback)
Push (confirmação no aplicativo)médiofuncionários/jogadores; proteger-se do MFA-fatiguue (rate-limit, number-match)
SMS/e-mail OTPbaixaapenas como reserva quando o dispositivo é perdido e para low-risk
Obrigatório:
  • códigos de backup de reserva (10, descartáveis), armazenamento offline;
  • MFA-enforcement: para acessibilidade e pagamento, sem exceções;
  • Number-matching em push, a proibição é «um clique em aceitar».

6) Política de sessões e re-auth

Duração: web 12 h ( ), admin-consoles 8 h, painéis críticos 4 h.
Idle timeout: 15-30 min para almirantes.
Re-auth com MFA: pagamento/mudança de adereços/alteração de e-mail/MFA/emissão de tokens API.
Device binding: MDM/dispositivo registrado para funcionários; para os jogadores - memorizar dispositivos de confiança com avaliação de risco.

7) Proteção contra ataques de autenticação

Credential stuffing: IP/device/user-based rate-limits, atrasos de proteção, análise comportamental, verificação de senhas soltas.
Força Brute: atrasos progressivos/kupch após o fracasso N; bloqueios (temporários) suaves, sem lockout prolongado para os jogadores.
Spd spraying: detecção por anomalias (muitas contas com senha única).
MFA-fatigue: limite de consultas push, number-match, notificação ao usuário.
Bot/anti-automação: WebAuthn preferencialmente, sinais comportamentais, fixação TLS, mTLS para painéis admins.

8) Procedimentos (SOP)

8. 1 Funcionário do banco

1. Conta SSO via SCIM;

2. emissão de chave FIDO2 (mínimo de 2: principal + reserva) e TOTP;

3. Instalar um gerente de senhas;

4. confirmação de treinamento (phishing, MFA).

8. 2 Perda de dispositivo/reinstalação MFA

1. Comprometimento através do portal → bloqueio temporário de sessões;

2. verificação por documentos + confirmação por meio do supervisor;

3. a emissão de novos fatores;

4. Auditoria do registro de ingressos em 30 dias.

8. 3 Break-glass (acesso de emergência)

Apenas para restauração; fator: HSM armazenado mestre-token + segundo aprovador; tempo ≤ 30 min; gravação completa da sessão; pós-review Segurança + DPO.

8. 4 Reinstalação da senha do jogador

Canal: e-mail/telefone, referência descartável ≤ 15 min; após a largada - configuração obrigatória da MFA na próxima entrada (obrigação macia com bônus/motivação).

9) Regras para diferentes categorias

9. 1 Funcionários/vendedores

Obrigatório WebAuthn + TOTP; proibição de SMS-MFA.
Acesso a aplicativos apenas com dispositivos MDM/corp-VPN; JIT para aumento de privilégios.
Proibir contas «compartilhadas» locais; apenas os nomeados.

9. 2 Jogadores

MFA macio-compulsório: banners motivacionais, bónus de inclusão; duro - em high-risk (pagamento/mudança de adereços).
Suporte à disponibilidade: frases-chave/leitores de tela, canais fallback.

9. 3 Contas de serviço/API

Sem senhas; apenas autenticação mútua (mTLS, OIDC cliente-creds, assinatura de webhooks).
As chaves são um gerente secreto; rotação e auditoria.

10) Integração com IdP/SSO

IdP central (OIDC/SAML); vinculação de grupo a papéis (RBAC as code).
Adaptável MFA: aumentar os fatores de risco (geo/novo dispositivo/anomalias).
Mantimentos SCIM/de-mantimentos; offboarding ≤ 15 min após a demissão.

11) Registro e auditoria

События (аудит-обязательные): `LOGIN_SUCCESS/FAIL`, `MFA_ENROLL/VERIFY/FAIL`, `PASSWORD_RESET_REQUEST/COMPLETE`, `MFA_RESET`, `DEVICE_TRUST_ADD/REMOVE`, `BREAK_GLASS_START/END`, `ADMIN_LOGIN`, `RISK_UPGRADE`, `TOKEN_ISSUE/REVOKE`.

Cópia em WORM, assinatura/cadeia de hash; vinculação a 'trace _ id', 'ator _ id', 'purpose'.

12) Métricas e KPI/KRI

MFA adopção (funcionários): 100% WebAuthn, 100% TOTP como reserva.
MFA adopção (jogadores): ≥ 30-50% em 6 mes (dependendo do mercado).
Compromised logins: 0; O percentual de tentativas com senhas soltas bloqueadas no perímetro é de 100%.
Avg time to offboard: ≤ 15 мин.
Push fatigue alerts/1000 MAU: ↓ MoM.
Spd reset sucess rate: ≥ 98% sem acessar o safort.
Re-auto coverage: 100% para operações high-risk.

13) Exemplos de políticas (fatias)

13. 1 Política de comprimento e verificação de vazamentos (pseudo-YAML)

yaml password:
min_length: 14 allow_spaces: true banned_lists:
- top100k_common
- organization_keywords breach_check: enabled  # k-anonymity lookup rotation: on_compromise_only

13. 2 enforcment MFA

yaml mfa:
required_roles:
- admin
- payments
- aml
- kyc required_factors:
- webauthn fallback:
- totp disallowed:
- sms

13. 3 Re-auth para ações sensíveis

yaml reauth:
actions:
- change_payout_details
- approve_withdrawal
- change_email
- manage_mfa ttl_minutes: 5

14) Relação com outros controladores

RBAC/ABAC/SoD: A MFA é obrigatória para atribuição/alteração de papéis, elevações JIT e operações 'ABORDVE _'.
Registro e armazenamento de logs: Consulte Registros de auditoria e vestígios de acesso, Política de armazenamento de logs.
Incidentes: quando suspeita de comprometimento - acesso imediato + token reset, revisão de sessões, forense (consulte «Procedimentos para vazamento de dados»).

15) Folhas de cheque

Antes do lançamento da autenticação

  • Se estiver incluído, o TOTP como reserva, os códigos de backup serão emitidos.
  • Verificar senhas e listas lexicais.
  • Rate-limits e proteção contra stuffing credential.
  • Re-auth para operações sensíveis.
  • Logs/auditorias e alertas no SIEM.

Trimestral

  • Analista de aceitação MFA; Motivadores A/B para os jogadores.
  • Revidando a política Push-fadiga.
  • Rotação de chaves de serviço, verificação de pimenta/KMS.
  • Exercício: perda da chave FIDO2, falha TOTP, break-glass.

16) Mapa de trânsito de implementação

Semanas 1-2: auditoria de autenticação, ativação de WebAuthn e TOTP, configuração de breach-check, atualização da política de senhas (pasfrass).
Semanas 3-4: implantar ré-auth para high-risk, number-matching em push, SIEM-alerts; distribuir as chaves FIDO2 aos funcionários.
Mês 2: MFA adaptável (sinais de risco), gerenciador de senhas de pleno funcionamento, portal de exclusão self-service, códigos de backup.
Mês 3 +: A/B promoção MFA jogadores, exercícios periódicos, otimização UX e redução MFA-fatiguue, automação de relatórios KPI.

TL; DR

Autenticação forte = pasfrass + WebAuthn (obrigatório) + TOTP (reserva) + re-auth para ações de risco, proteção contra stuffing/brute, hasteamento confiável (Argon2id), gerente de senhas e auditoria de cada etapa. Isso reduz o comprometimento de contas, simplifica o cumprimento de requisitos e quase não fere a UX se for bem feito.

Contact

Entrar em contacto

Contacte-nos para qualquer questão ou necessidade de apoio.Estamos sempre prontos para ajudar!

Telegram
@Gamble_GC
Iniciar integração

O Email é obrigatório. Telegram ou WhatsApp — opcionais.

O seu nome opcional
Email opcional
Assunto opcional
Mensagem opcional
Telegram opcional
@
Se indicar Telegram — responderemos também por lá.
WhatsApp opcional
Formato: +indicativo e número (ex.: +351XXXXXXXXX).

Ao clicar, concorda com o tratamento dos seus dados.