GH GambleHub

Politica de parolă și MFA

1) Obiective și domeniu de aplicare

Scopul: reducerea riscului de compromitere a conturilor angajaților/partenerilor și jucătorilor, asigurarea respectării standardelor interne de securitate și a cerințelor de reglementare.
Acoperire: toate conturile corporative (SSO/IdP), panourile de administrare, consolele de plată și KYC, conturile de service/bot, precum și conturile de utilizator ale jucătorilor.

2) Principii de bază

Rezistent la phishing în mod implicit: TOTP Push SMS/e-mail OTP (acesta din urmă - doar ca rezervă).
Cel mai mic privilegiu + JIT: Privilegiile sunt acordate minim și temporar, MAE este obligatorie la promovare.
Parole ca ultimă soluție: accent pe parole și manageri de parole; interzicerea parolelor scurte „memorabile”.
Securitate implicită: MFA este activat în mod implicit; pentru acțiuni critice - re-auth.
Observație: toate evenimentele de autentificare/aplicare/resetare - în jurnalele de audit.

3) Parolă/Parolă Cerințe

3. 1 Angajaţi/administratori

Format: pasphrase ≥ 14 caractere, spațiile sunt permise; „complexitate” cerințe cum ar fi „A1!” Sunt interzise - în schimb, verificarea scurgerilor (have-I-be-pwned-style local/prin API hash).
Reutilizare: interzicerea reutilizării ultimelor 10, interzicerea parolei corporative pentru serviciile externe.
Rotație: numai dacă este compromisă/expusă riscului; schimbare periodică forțată - nu se aplică (pentru a evita parolele slabe).
Stocare: numai în managerul de parole corporative; Interziceți fișierele locale/autosave de browser în afara profilurilor MDM.

3. 2 jucători

Minim 10-12 caractere sau generator de frază de acces; indicarea vizuală a forței; bloc de liste de parole populare.
Activați „arată parola” și „introduceți din manager”; nu impuneți restricții non-standard (emoji/caractere - puteți).

4) Hashing și secrete

Algoritm: Argon2id (memorie ≥ 256 MB, iterații ≥ 3, paralelism ≥ 1); bcrypt (costul ≥ 12) să fie legal.
Sare: unic 16 + bytes per write. Piper: Un secret de sistem în HSM/KMS.
Actualizare: atunci când vă conectați, hash-urile legale sunt transparent „re-hash” la profilul curent.
Chei de serviciu/jetoane API: nu „parole” - gestionați printr-un manager secret, rotație pe un program și în caz de incidente.

5) MAE: Factori și priorități

FactorRezistență la phishingÎn cazul în care se aplică
FIDO2/WebAuthn (chei, platforma TouchID/Windows Hello)ridicatangajați/administratori, operațiuni cu risc ridicat la jucători
TOTP (RFC 6238)medieangajați și jucători (rezervă principală)
Push (confirmare în cerere)medieangajați/jucători; protejați împotriva oboselii MAE (rată-limită, număr-meci)
SMS/e-mail OTPscăzutnumai ca rezervă pentru pierderea dispozitivului și pentru risc scăzut
A trebuie:
  • coduri de rezervă (10 buc., de unică folosință), stocare offline;
  • Executarea MAE: pentru acțiunile de acces la admin și de plată fără excepții;
  • Numărul de potrivire în împingere, un singur clic sunt de acord.

6) Politica sesiunilor și re-auth

Durata: web 12 h (interactiv), consola admin 8 h, panouri critice 4 h.
Timp de inactivitate: 15-30 min pentru administratori.
Re-auth cu MFA: la plata/schimbarea detaliilor/schimbarea e-mail/MFA/emiterea de jetoane API.
Dispozitiv de legare: MDM/dispozitiv înregistrat pentru angajați; pentru jucători, amintirea dispozitivelor de încredere cu un scor de risc.

7) Protecția împotriva atacurilor de autentificare

Umplutură de acreditare: IP/dispozitiv/limite de rată bazate pe utilizator, întârzieri de securitate, analiză comportamentală, verificarea parolei scurgeri.
Forța brută: întârzieri progresive/captcha după eșecurile N; încuietori moi (temporare), fără blocare lungă pentru jucători.
Răspândirea parolei: detectarea prin anomalii (multe conturi cu o singură parolă).
MFA-oboseală: limită de cerere push, număr-meci, notificări de utilizator.
Bot/anti-automatizare: WebAuthn preferabil semnale comportamentale, TLS-fixare, mTLS pentru panouri de admin.

8) Proceduri (POS)

8. 1 Onboarding angajat

1. Cont SSO prin SCIM;

2. emiterea cheii FIDO2 (minim 2: principal + standby) și TOTP;

3. Instalarea unui manager de parole

4. dovada de formare (phishing, MFA).

8. 2 Pierderea dispozitivului/resetarea MFA

1. Auto-raport prin intermediul portalului → blocarea temporară a sesiunilor;

2. verificarea documentelor + confirmarea prin intermediul supraveghetorului;

3. eliberarea de noi factori;

4. Audit jurnal de 30 de zile.

8. 3 Spargerea sticlei (acces de urgență)

Numai recuperare; factor: HSM-stocate master token + al doilea aprobator; timp de ≤ 30 min; înregistrarea completă a sesiunii; post-review Securitate + DPO.

8. 4 Resetarea parolei jucătorului

Canal: e-mail/telefon, legătură unică ≤ 15 minute; după resetare - setare MFA obligatorie la următoarea autentificare (compulsie moale cu bonus/motivație).

9) Reguli pentru diferite categorii de conturi

9. 1 Angajaţi/Furnizori

WebAuthn + TOTP este necesar; interzicerea SMS-MFA.
Acces la administratori numai de pe dispozitive MDM/corp VPN; JIT privind escaladarea privilegiilor.
Interzicerea conturilor locale „partajate”; numit numai.

9. 2 jucători

MFA soft-force: bannere motivaționale, bonusuri de incluziune; greu - cu risc ridicat (plăți/schimbare de detalii).
Suport pentru accesibilitate: fraze cheie/cititoare de ecran, canale de rezervă.

9. 3 Conturi de service/API-uri

Fără parole; numai autentificare reciprocă (mTLS, OIDC client-creds, semnătura de webhooks).
Cheile în managerul secret; rotație și audit.

10) Integrarea cu IdP/SSO

IdP central (OIDC/SAML); RBAC ca cod.
Adaptive MFA: amplificarea factorilor prin semnale de risc (geo/dispozitiv nou/anomalii).
Provizionarea/destituirea SCIM; offboarding ≤ 15 min după concediere.

11) Înregistrarea și auditarea

События (аудит - обязательные): 'LOGIN _ SUCCESS/FAIL', 'MFA _ ENROLL/VERIFY/FAIL', 'PASSWORD _ RESET _ REQUEST/COMPLETE', 'MFA _ RESET', 'DEVICE _ TRUST _ ADD UT/REM',' GLASS _ START/END', 'ADMIN _ LOGIN', 'RISK _ UPGRADE', 'TOKEN _ ISSUE/REVOCE'.

Copierea în WORM, semnătură/lanț hash; legare la 'trace _ id',' actor _ id', 'scop'.

12) Valori și KPI/KRI

Adoptarea MAE (angajați): 100% WebAuthn, 100% TOTP ca rezervă.
Adoptarea MAE (jucători): ≥ 30-50% în 6 luni (în funcție de piață).
Conectări compromise: 0; ponderea încercărilor cu parole scurse blocate pe perimetru este de 100%.
Medie timp pentru deconectare: ≤ 15 мин.
Alerte de oboseală/1000 MAU: ↓ MoM.
Rata de succes a resetării parolei: ≥ 98% fără a contacta suportul.
Acoperire re-auth: 100% pentru operațiuni cu risc ridicat.

13) Exemple de politici (fragmente)

13. 1 Politica de verificare a lungimii și a scurgerilor (pseudo-YAML)

yaml password:
min_length: 14 allow_spaces: true banned_lists:
- top100k_common
- organization_keywords breach_check: enabled  # k-anonymity lookup rotation: on_compromise_only

13. 2 Aplicarea MAE

yaml mfa:
required_roles:
- admin
- payments
- aml
- kyc required_factors:
- webauthn fallback:
- totp disallowed:
- sms

13. 3 Re-auth pentru acțiuni sensibile

yaml reauth:
actions:
- change_payout_details
- approve_withdrawal
- change_email
- manage_mfa ttl_minutes: 5

14) Relația cu alte controale

RBAC/ABAC/SoD: MFA este obligatorie pentru atribuirea/schimbarea rolurilor, ridicările JIT și operațiunile 'APPROVE _'.
Jurnalele și stocarea jurnalului: consultați „Jurnalele de audit și urmele de acces”, „Politica de stocare a jurnalului”.
Incidente: dacă se suspectează un compromis - parolă imediată + resetare token, rechemare sesiune, criminalistică (a se vedea „Proceduri pentru scurgeri de date”).

15) Liste de verificare

Înainte de a elibera autentificarea

  • WebAuthn este activat, TOTP ca backup, codurile de rezervă sunt emise.
  • Verificări pentru parole scurgeri și liste lexicale.
  • Limitele ratei și protecția umpluturii acreditate.
  • Re-auth pentru operații sensibile.
  • Jurnale/audituri și alerte în SIEM.

Trimestrial

  • Analiza acceptării MAE; Motivatoare A/B pentru jucători.
  • O revizuire a politicilor de push-oboseală.
  • Rotație cheie de serviciu, verificare piper/KMS.
  • Exerciții: FIDO2 pierdere cheie, eșec TOTP, spargere de sticlă.

16) Foaia de parcurs privind implementarea

Săptămânile 1-2: audit de autentificare, activați WebAuthn și TOTP, configurați verificarea încălcării, actualizați politica parolei (parola).
Săptămânile 3-4: punerea în aplicare a re-auth pentru risc ridicat, numărul de potrivire în împingere, alerte SIEM; distribuie cheile FIDO2 pentru angajați.
Luna 2: adaptive MFA (semnale de risc), full-featured manager de parole, self-service reset portal, coduri de rezervă.
Luna 3 +: Promovarea A/B MFA pentru jucători, exerciții periodice, optimizarea UX și reducerea oboselii MFA, automatizarea raportării KPI.

TL; DR

Autentificare puternică = pasphrases + WebAuthn (required) + TOTP (reserve) + re-auth pentru acțiuni riscante, umplutură/protecție brută, hashing puternic (Argon2id), manager de parole și auditarea fiecărui pas. Acest lucru reduce compromisurile contului, simplifică conformitatea și cu greu freacă UX dacă este făcut corect.

Contact

Contactați-ne

Scrieți-ne pentru orice întrebare sau solicitare de suport.Suntem mereu gata să ajutăm!

Telegram
@Gamble_GC
Pornește integrarea

Email-ul este obligatoriu. Telegram sau WhatsApp sunt opționale.

Numele dumneavoastră opțional
Email opțional
Subiect opțional
Mesaj opțional
Telegram opțional
@
Dacă indicați Telegram — vă vom răspunde și acolo, pe lângă Email.
WhatsApp opțional
Format: cod de țară și număr (de exemplu, +40XXXXXXXXX).

Apăsând butonul, sunteți de acord cu prelucrarea datelor dumneavoastră.