Сиёсати парол ва ВКХ
1) Ҳадафҳо ва миқёс
Ҳадаф: коҳиш додани хатари вайрон кардани ҳисобҳои кормандон/шарикон ва бозингарон, таъмини риояи стандартҳои амнияти дохилӣ ва талаботи танзим.
Фарогирӣ: ҳама ҳисобҳои корпоративӣ (SSO/IDP), панелҳои маъмурӣ, пардохт ва консолҳои KYC, ҳисобҳои хидматрасонӣ/бот, инчунин ҳисобҳои корбарии бозингарон.
2) Принсипҳои асосӣ
Бо нобаёнӣ ба фишинг тобовар аст: FIDO2/WebAuthn ≥ TOTP ≥ Push ≥ SMS/e-mail OTP (охирин - танҳо ҳамчун таназзул).
Имтиёзи камтарин + JIT: Имтиёзҳо ҳадди ақал ва муваққатан дода мешаванд, ВКХ ҳангоми пешбарӣ ҳатмист.
Паролҳо ҳамчун чораи охирин: таъкид ба гузарвожаҳо ва менеҷерони парол; манъ кардани паролҳои кӯтоҳи "хотирмон".
Амният бо нобаёнӣ: ВКХ бо нобаёнӣ фаъол аст; барои амалҳои интиқодӣ - дубора auth.
Мушоҳида: ҳама воқеаҳои аутентификатсия/татбиқ/барқароркунӣ - дар гузоришҳои аудит.
3) Талаботи гузарвожа/гузарвожа
3. 1 Кормандон/маъмурон
Формат: пасфраз ≥ 14 аломат, фосила иҷозат дода мешавад; талаботи "мураккаб" ба монанди 'A1!' Ба ҷои ин, санҷиши ихроҷ манъ аст (бо сабки маҳаллӣ/тавассути hash API).
Истифодаи такрорӣ: манъи истифодаи такрории 10 охирин, манъи пароли корпоративӣ барои хидматҳои хориҷӣ.
Гардиш: танҳо дар сурати осеб дидан/дар хатар; тағироти даврии маҷбурӣ - татбиқ намегардад (барои пешгирии паролҳои заиф).
Нигоҳдорӣ: танҳо дар менеҷери пароли корпоративӣ; Файлҳои/браузери маҳаллиро дар беруни профилҳои MDM манъ кунед.
3. 2 Бозингарон
Ҳадди аққал 10-12 аломат ё генератори гузарвожа; нишондиҳандаи визуалии қувва; блоки рӯйхати паролҳои маъмул.
Даргиронидани "нишон додани парол" ва "гузоштан аз мудир"; маҳдудиятҳои ғайримуқаррариро ҷорӣ накунед (emoji/аломатҳо - шумо метавонед).
4) Хэш ва асрори
Алгоритм: Argon2id (хотира ≥ 256 МБ, итератсия ≥ 3, параллелизм ≥ 1); бигзор bcrypt (арзиши ≥ 12) қонунӣ бошад.
Намак: беназир 16 + байт барои як навиштан. Филфил: Сирри система дар HSM/KMS.
Навсозӣ: ҳангоми ворид шудан, хэшҳои ҳуқуқӣ ба профили ҳозира шаффоф "дубора ҳаш" мешаванд.
Калидҳои хидматрасонӣ/аломатҳои API: на "паролҳо" - тавассути менеҷери махфӣ, гардиш аз рӯи ҷадвал ва дар ҳолати рух додани ҳодисаҳо идора карда мешаванд.
5) ВКХ: Омилҳо ва афзалиятҳо
A бояд:- рамзҳои эҳтиётӣ (10 саҳ., Якдафъаина), нигаҳдории офлайнӣ;
- Иҷрои ВКХ: барои амалҳои дастрасӣ ва пардохти маъмурон бидуни истисно;
- Мувофиқати рақам дар тела, як клик розӣ аст.
6) Сиёсати ҷаласаҳо ва бозсозӣ
Давомнокӣ: веб 12 соат (интерактивӣ), консол админ 8 соат, панелҳои интиқодӣ 4 соат.
Вақти бекорхобида: 15-30 дақиқа барои маъмурон.
Бозсозӣ бо ВКХ: ҳангоми пардохт/тағир додани тафсилот/тағир додани почтаи электронӣ/ВКХ/додани нишонаҳои API.
Ҳатмии дастгоҳ: MDM/дастгоҳи бақайдгирифташуда барои кормандон; барои бозингарон, дар хотир доштани дастгоҳҳои боэътимод бо холҳои хатар.
7) Муҳофизат аз ҳамлаҳои аутентификатсия
Қуттиҳои эътимоднок: Маҳдудиятҳои меъёри IP/дастгоҳ/корбар, таъхири амният, таҳлили рафтор, санҷиши ихроҷшудаи парол.
Қувваи бераҳмона: таъхирҳои прогрессивӣ/каптча пас аз шикасти N; қуфлҳои мулоим (муваққатӣ), барои бозигарон қулфи дароз нест.
Паҳнкунии парол: муайянкунии аномалия (бисёр ҳисобҳо бо як парол).
MFA-хастагӣ: маҳдудияти дархости пахшкунӣ, рақами мувофиқ, огоҳиномаҳои корбар.
Бот/анти-автоматика: Web
8) Тартибот (SOP)
8. 1 корманд дар киштӣ
1. Ҳисоби SSO тавассути SCIM;
2. барориши калиди FIDO2 (ҳадди аққал 2: асосӣ + интизорӣ) ва TOTP;
3. Насб кардани мудири парол
4. далели омӯзиш (фишинг, ВКХ).
8. 2 Аз даст додани дастгоҳ/барқароркунии ВКХ
1. Ҳисоботи мустақилона тавассути портал → бастани муваққатии ҷаласаҳо;
2. санҷиши ҳуҷҷат + тасдиқ тавассути супервайзер;
3. баровардани омилҳои нав;
4. Аудити сабти 30-рӯза.
8. 3 Танаффус (дастрасии фавқулодда)
Танҳо барқароршавӣ; омил: аломати устои ҳифзшудаи HSM + тасдиқи дуюм; ≤ вақт 30 дақ; сабти пурраи сессия; пас аз баррасии Амният + DPO.
8. 4 Бозсозии гузарвожаи плеер
Канал: почтаи электронӣ/телефон, пайванди яквақта ≤ 15 дақиқа; пас аз барқароркунӣ - танзими ҳатмии ВКХ ҳангоми воридшавии навбатӣ (маҷбуркунии мулоим бо бонус/ҳавасмандкунӣ).
9) Қоидаҳо барои категорияҳои гуногуни ҳисобҳо
9. 1 Кормандон/фурӯшандагон
Интернет Authn + TOTP талаб карда мешавад; манъ кардани SMS-ВКХ.
Дастрасӣ ба маъмурон танҳо аз дастгоҳҳои MDM/corp VPN; JIT оид ба густариши имтиёз.
Манъи ҳисобҳои маҳаллии "муштарак"; танҳо номгузорӣ шудааст.
9. 2 Бозингарон
ВКХ-и мулоим: баннерҳои ҳавасмандкунанда, мукофотпулӣ барои фарогирӣ; сахт - дар хавфи баланд (пардохт/тағир додани тафсилот).
Дастгирии дастрасӣ: ибораҳои калидӣ/хонандагони экран, каналҳои бозгашт.
9. 3 Ҳисобҳои хидматӣ/API
Парол нест; танҳо аутентификатсияи мутақобила (m
Калидҳо дар менеҷери махфӣ; ротатсия ва аудит.
10) Ҳамгироӣ бо IDP/SSO
ИДПи марказӣ (OIDC/SAML); RBAC ҳамчун рамз.
ВКХ-и мутобиқшавӣ: омилҳои тақвиятдиҳандаро тавассути сигналҳои хатар (гео/дастгоҳи нав/аномалияҳо).
SCIM-таъминот/таъминот; offboard ≤ 15 дақиқа пас аз аз кор озод кардан.
11) Воридшавӣ ва аудит
События (аудит-обязательные): 'LOGIN _ SUCCESS/FAIL', 'MFA _ ENROLL/VERIFY/FAIL', 'PERVERSE _ RESET/COMPPLEPPLATE MENT _ TRUST _ ADD/НЕСТ КАРДАН', 'BREAK _ GLASS _ START/END', 'ADMIN _ LOGIN', 'RISK _ UPGRADE', 'TOKEN _ ISSUCE/REVOCKE E'.
Нусхабардорӣ дар WORM, имзо/занҷири ҳаш; ҳатмӣ ба 'trace _ id', 'actor _ id', 'мақсад'.
12) Нишондиҳандаҳо ва KPI/KRI
Қабули ВКХ (кормандон): 100% WebAuthn, 100% TOTP ҳамчун захира.
Қабули ВКХ (бозингарон): ≥ 30-50% дар 6 моҳ (вобаста ба бозор).
Вурудоти вайроншуда: 0; ҳиссаи кӯшишҳо бо паролҳои ихроҷшуда дар периметр 100% -ро ташкил медиҳад.
Вақти Avg ба offboard: ≤ 15 мил.
Огоҳии хастагӣ/1000 MAU: ↓ ВМ.
Сатҳи муваффақияти барқароркунии парол: ≥ 98% бе тамос бо дастгирӣ.
Фарогирии дубора: 100% барои амалиётҳои дорои хавфи баланд.
13) Намунаҳои сиёсат (порчаҳо)
13. 1 Сиёсати санҷиши дарозӣ ва ихроҷ (псевдо-YAML)
yaml password:
min_length: 14 allow_spaces: true banned_lists:
- top100k_common
- organization_keywords breach_check: enabled # k-anonymity lookup rotation: on_compromise_only13. 2 ВКХ-иҷроиш
yaml mfa:
required_roles:
- admin
- payments
- aml
- kyc required_factors:
- webauthn fallback:
- totp disallowed:
- sms13. 3 Re-auth барои амалҳои ҳассос
yaml reauth:
actions:
- change_payout_details
- approve_withdrawal
- change_email
- manage_mfa ttl_minutes: 514) Муносибат бо дигар назорат
RBAC/ABAC/So-D: ВКХ барои таъин/тағир додани нақш, лифтҳои JIT ва 'OPPOVE _' ҳатмист.
Сабтҳо ва нигаҳдории журнал: нигаред ба "Сабтҳои аудит ва пайҳои дастрасӣ", "Сиёсати нигоҳдории журнал".
Ҳодисаҳо: агар ягон созиш гумонбар шавад - фавран барқарор кардани парол + аломати нишона, бозхонди сессия, криминалистика (нигаред ба "Тартиби ихроҷи маълумот").
15) Рӯйхати санҷишҳо
Пеш аз баровардани аутентификатсия
- Интернет Authn фаъол аст, TOTP ҳамчун нусхабардорӣ, рамзҳои эҳтиётӣ бароварда мешаванд.
- Тафтиши паролҳои ихроҷшуда ва рӯйхати лексикӣ.
- Маҳдудиятҳои меъёрӣ ва муҳофизати қуттиҳои эътимоднок.
- Re-auth барои амалиёти ҳассос.
- Гузоришҳо/аудитҳо ва огоҳиҳо дар SIEM.
Семоҳа
- Таҳлили қабули ВКХ; A/B ҳавасмандкунанда барои бозингарон.
- Шарҳи сиёсати тела-хастагӣ.
- Санҷиши калиди хидмат, филфили/KMS.
- Машқҳо: FIDO2 талафоти асосӣ, нокомии TOTP, шикастани шиша.
16) Харитаи роҳсозӣ
Ҳафтаҳои 1-2: аудити аутентификатсия, имкон диҳед Web-Authn ва TOTP, вайронкунии чекро танзим кунед, сиёсати паролро навсозӣ кунед (гузарвожа).
Ҳафтаҳои 3-4: такрори такрорӣ барои хавфи баланд, мувофиқати рақамҳо дар пахшкунӣ, огоҳиҳои SIEM; калидҳои FIDO2 ба кормандон тақсим кунед.
Моҳи 2: ВКХ-и мутобиқшавӣ (сигналҳои хавф), менеҷери пурраи парол, портали барқароркунии хидматрасонӣ, рамзҳои эҳтиётӣ.
Моҳи 3 +: Пешбурди A/B MFA ба бозингарон, машқҳои даврӣ, оптимизатсияи UX ва коҳиши MFA-хастагӣ, автоматизатсияи гузоришдиҳии KPI.
TL; ДР
Аутентификатсияи қавӣ = пасфразҳо + Web Ин созишномаҳои ҳисобро коҳиш медиҳад, мутобиқатро содда мекунад ва UX-ро ба таври дуруст иҷро намекунад.