GH GambleHub

Parol syýasaty we MFA

1) Maksatlar we hereket ediş meýdany

Maksady: Işgärleriň/hyzmatdaşlaryň we oýunçylaryň hasaplarynyň bozulma töwekgelçiligini azaltmak, içerki howpsuzlyk standartlaryna we düzgünleşdirijileriň talaplaryna laýyklygyny üpjün etmek.
Gurşaw: ähli korporatiw hasaplar (SSO/IdP), dolandyryş panelleri, töleg we KYC konsollary, hyzmat/bot hasaplary, şeýle hem oýunçylaryň ulanyjy hasaplary.

2) Esasy ýörelgeler

Phishing-resistant: FIDO2/WebAuthn ≥ TOTP ≥ Push ≥ SMS/e-mail OTP (iň soňkusy - diňe fallback hökmünde).
Least Privilege + JIT: ýeňillikler iň az we wagtlaýyn berilýär, MFA ýokarlananda hökmanydyr.
Passwords as last resort: pasformatlara we parol dolandyryjylaryna ünsi jemläň; "ýatdan çykmajak" gysga parollary gadagan etmek.
Security by Default: MFA öňküsi ýaly açykdyr; möhüm hereketler üçin - re-auth.
Observability: ähli autentifikasiýa/arzalar/zyňylmalar wakalary - auditorçylyk žurnallarynda.

3) Parollara/parollara bildirilýän talaplar

3. 1 Işgärler/dolandyryjylar

Format: 14 simwoldan ≥ pasfraza, boşluklara ýol berilýär; "A1!" Görnüşiniň "çylşyrymlylygy" üçin talaplar gadagan - munuň ýerine syzdyryş barlagy (ýerli/API-hash arkaly have-I-been-pwned-stil).
Gaýtadan ulanmak: soňky 10 reuse gadaganlygy, daşarky hyzmatlar üçin korporatiw parolyň gadaganlygy.
Aýlaw: diňe eglişik/töwekgelçilik bolanda; mejbury döwürleýin çalşyk - ulanylmaýar (gowşak parollardan gaça durmak üçin).
Saklamak: diňe parollaryň korporatiw dolandyryjysynda; MDM profilleriniň daşyndaky ýerli faýllary/brauzer awto-tygşytlamalaryny gadagan etmek.

3. 2 Oýunçylar

Iň azyndan 10-12 simwol ýa-da pasfraz generatory; güýji wizual görkezmek; meşhur parollaryň sanawy.
"Paroly" we "Dolandyryjydan goýmany" açyň; standart däl çäklendirmeleri girizmezlik (emoji/nyşanlar - mümkin).

4) Heşirlemek we syrlar

Algoritm: Argon2id (ýat ≥ 256 MB, yterasiýa ≥ 3, paralellik ≥ 1); bcrypt (cost ≥ 12) legasi hökmünde kabul edeliň.
Tuz: ýazgy üçin özboluşly 16 + baýt. Burç (pepper): HSM/KMS-de ulgam syry.
Täzelenme: Legasi-heş girelgesinde häzirki profile aç-açan "üýtgetmek".
Hyzmat açarlary/API-bellikleri: "parollar" däl - gizlin dolandyryjy arkaly dolandyrmak, meýilnama boýunça we hadysalar ýüze çykan halatynda aýlanmak.

5) MFA: faktorlar we ileri tutulýan ugurlar

FaktorFişing garşylygyNirede ulanmak
FIDO2/WebAuthn (açarlar, TouchID/Windows Hello platformasy)beýikişgärler/dolandyryjylar, oýunçylarda ýokary töwekgelçilikli amallar
TOTP (RFC 6238)ortaişgärler we oýunçylar (esasy fallback)
Push (programmada tassyklama)ortaişgärler/oýunçylar; MFA-fatigue (rate-limit, number-match) -den goramak
SMS/e-mail OTPpesdiňe enjam ýitirilende we low-risk üçin ätiýaçlyk hökmünde
Hökmany:
  • ätiýaçlyk backup kodlary (10 sany, bir gezek ulanylýan), oflayn saklamak;
  • MFA-enforcement: administratiw elýeterlilik we töleg hereketleri üçin kadadan çykmalar bolmazdan;
  • Push-da number-matching, "bir basmak bilen razy boluň" gadaganlygy.

6) Sessiýa we re-auth syýasaty

Dowamlylygy: web 12 sagat (interaktiw), administrator-konsollar 8 sagat, möhüm paneller 4 sagat.
Idle timeout: administratorlar üçin 15-30 minut.
MFA bilen Re-auth: tölegler/rekwizitleri üýtgedenlerinde/e-poçta/MFA üýtgänlerinde/API bellikleri berlende.
Device binding: MDM/işgärler üçin hasaba alnan enjam; oýunçylar üçin - töwekgelçilikli ynanylan enjamlary ýatda saklamak.

7) Autentifikasiýa edilen hüjümlerden goramak

Credential stuffing: IP/device/user-based rate-limits, gorag gijikdirmeleri, özüni alyp baryş seljermesi, syzdyrylan parollary barlamak.
Brute force: N şowsuzlykdan soň progressiw gijikdirmeler/kapça; oýunçylar üçin uzak wagtlap gulplanman, ýumşak gulplama (wagtlaýyn).
Password spraying: anomaliýalar boýunça deteksiýa (bir parolly köp hasap).
MFA-fatigue: push-soraglaryň, number-match, ulanyja bildirişleriň çägi.
Bot/anti-automation: WebAuthn has gowy, özüni alyp baryş signallary, TLS-fiksasiýa, administration paneller üçin mTLS.

8) Amallar (SOP)

8. 1 Işgäriň onbording

1. SCIM arkaly SSO-hasap;

2. FIDO2-açar (azyndan 2: esasy + ätiýaçlyk) we TOTP bermek;

3. parol dolandyryjysyny gurmak;

4. okuwy tassyklamak (fişing, MFA).

8. 2 Enjamy ýitirmek/MFA taşlamak

1. Portalyň üsti bilen öz-özüne hasabat → sessiýalaryň wagtlaýyn petiklenmegi;

2. resminamalar boýunça barlamak + ýolbaşçynyň üsti bilen tassyklamak;

3. täze faktorlaryň goýberilmegi;

4. 30 günüň içinde giriş magazineurnalynyň barlagy.

8. 3 Break-glass (gyssagly giriş)

Diňe dikeltmek üçin; faktor: HSM saklanan master-token + ikinji tassyklaýjy; wagt ≤ 30 minut; sessiýanyň doly ýazgysy; post-review Security + DPO.

8. 4 Oýunçynyň parolyny täzelemek

Kanal: e-mail/telefon, bir gezek ulanylýan baglanyşyk ≤ 15 min; zyňylandan soň - indiki girelgede hökmany MFA sazlamasy (bonus/höweslendiriş bilen ýumşak mejbury).

9) Hasaplaryň dürli kategoriýalary üçin düzgünler

9. 1 Işgärler/satyjylar

Hökmany WebAuthn + TOTP; SMS-MFA gadaganlygy.
Diňe MDM enjamlaryndan/corp-VPN-den dolandyryjylara girmek; Artykmaçlyklary ýokarlandyranda JIT.
Lokal "umumy" hasaplary gadagan etmek; diňe atlandyrylanlar.

9. 2 Oýunçylar

MFA ýumşak mejbury: höweslendiriji bannerler, goşmak üçin bonuslar; gaty - ýokary töwekgelçilikde (tölegler/jikme-jiklikleriň üýtgemegi).
Elýeterliligi goldamak: esasy sözlemler/ekran okyjylary, fallback kanallary.

9. 3 Hyzmat hasaplary/API

Parolsyz; diňe özara autentifikasiýa (mTLS, OIDC client-creds, webhuklaryň goly).
Gizlin dolandyryjyda açarlar; aýlanyş we audit.

10) IdP/SSO bilen integrasiýa

Merkezi IdP (OIDC/SAML); rollara toparlaýyn baglanyşyk (RBAC as code).
Adaptive MFA: töwekgelçilik signallary boýunça faktorlary güýçlendirmek (geo/täze enjam/anomaliýalar).
SCIM-provizing/de-provizing; offboarding ≤ işden aýrylandan soň 15 minut.

11) Žurnallaşdyrmak we audit

События (аудит-обязательные): `LOGIN_SUCCESS/FAIL`, `MFA_ENROLL/VERIFY/FAIL`, `PASSWORD_RESET_REQUEST/COMPLETE`, `MFA_RESET`, `DEVICE_TRUST_ADD/REMOVE`, `BREAK_GLASS_START/END`, `ADMIN_LOGIN`, `RISK_UPGRADE`, `TOKEN_ISSUE/REVOKE`.

WORM-de göçürme, gol/hash zynjyrlary; 'trace _ id', 'actor _ id', 'purpose' baglanyşygy.

12) Metrikler we KPI/KRI

MFA adoption (işgärler): 100% WebAuthn, 100% TOTP ätiýaçlyk hökmünde.
MFA adoption (oýunçylar): ≥ 30-50% 6 aýda (bazara baglylykda).
Compromised logins: 0; perimetrde petiklenen parollary syzdyrmak synanyşyklarynyň paýy - 100%.
Avg time to offboard: ≤ 15 мин.
Push fatigue alerts/1000 MAU: ↓ MoM.
Password reset success rate: ≥ 98%.
Re-auth coverage: 100% ýokary töwekgelçilikli amallar üçin.

13) Syýasatçylaryň mysallary (bölekler)

13. 1 Uzynlygy we syzmagy barlamak syýasaty (psevdo-YAML)

yaml password:
min_length: 14 allow_spaces: true banned_lists:
- top100k_common
- organization_keywords breach_check: enabled  # k-anonymity lookup rotation: on_compromise_only

13. 2 MFA-enforsment

yaml mfa:
required_roles:
- admin
- payments
- aml
- kyc required_factors:
- webauthn fallback:
- totp disallowed:
- sms

13. 3 Duýgur hereketler üçin Re-auth

yaml reauth:
actions:
- change_payout_details
- approve_withdrawal
- change_email
- manage_mfa ttl_minutes: 5

14) Beýleki gözegçilikler bilen özara baglanyşyk

RBAC/ABAC/SoD: MFA rollary bellemekde/üýtgetmekde, JIT-götermekde we 'APPROVE _' amallarynda hökmanydyr.
Magazinesurnallar we ýazgylary saklamak: "Auditorlyk magazinesurnallary we giriş yzlary", "Ýazgylary saklamak syýasaty".
Hadysalar: eglişiklere şübhelenilende - derrew password + token reset, sessiýalary yzyna almak, forensika ("Maglumatlaryň syzmagy proseduralaryna" serediň).

15) Çek-listler

Tassyklamadan öň

  • WebAuthn goşuldy, TOTP ätiýaçlyk hökmünde, backup kodlary berilýär.
  • Syzdyrylan parollary we leksiki sanawlary barlamak.
  • Rate-limits we credential stuffing goragy.
  • Duýgur amallar üçin Re-auth.
  • SIEM-de giriş/audit we töwekgelçilikler.

Her çärýekde <>

  • MFA kabul edilmeginiň seljermesi; Oýunçylar üçin A/B-höweslendirijiler.
  • Basyş-ýadawlyk syýasatçysy.
  • Hyzmat açarlarynyň aýlanmagy, burç barlagy/KMS.
  • Maşklar: FIDO2 açarynyň ýitmegi, TOTP-iň şowsuzlygy, break-glass.

16) Durmuşa geçirmegiň ýol kartasy

Hepdeler 1-2: Autentifikasiýa barlagy, WebAuthn we TOTP-i goşmak, breach-check-i sazlamak, parol syýasatyny täzelemek (pasfrezler).
Hepdeler 3-4: high-risk, number-matching push, SIEM-alertler üçin re-auth girizmek; FIDO2 açarlaryny işgärlere paýlamak.
2-nji aý: uýgunlaşdyrylan MFA (töwekgelçilik signallary), doly işleýän parol dolandyryjysy, self-service zyňmak portaly, backup-kodlar.
Aýy 3 +: A/B oýunçylara MFA-ny öňe sürmek, wagtal-wagtal maşklar, UX-ni optimizirlemek we MFA-fatigue-ni azaltmak, KPI hasabatlylygyny awtomatlaşdyrmak.

TL; DR

Güýçli tassyklama = pasfrazlar + WebAuthn (hökmany) + TOTP (ätiýaçlyk) + töwekgelçilikli hereketler üçin re-auth, stuffing/brute gorag, ygtybarly hashing (Argon2id), parol dolandyryjysy we her ädimiň barlagy. Bu hasaplaryň bozulmagyny azaldýar, talaplara laýyk gelmegini aňsatlaşdyrýar we dogry edilse UX-ni ýitirmeýär diýen ýaly.

Contact

Biziň bilen habarlaşyň

Islendik sorag ýa-da goldaw boýunça bize ýazyp bilersiňiz.Biz hemişe kömek etmäge taýýar.

Telegram
@Gamble_GC
Integrasiýany başlamak

Email — hökmany. Telegram ýa-da WhatsApp — islege görä.

Adyňyz obýýektiw däl / islege görä
Email obýýektiw däl / islege görä
Tema obýýektiw däl / islege görä
Habar obýýektiw däl / islege görä
Telegram obýýektiw däl / islege görä
@
Eger Telegram görkezen bolsaňyz — Email-den daşary şol ýerden hem jogap bereris.
WhatsApp obýýektiw däl / islege görä
Format: ýurduň kody we belgi (meselem, +993XXXXXXXX).

Düwmäni basmak bilen siz maglumatlaryňyzyň işlenmegine razylyk berýärsiňiz.