GH GambleHub

Şifre Politikası ve MFA

1) Hedefler ve kapsam

Amaç: Çalışanların/ortakların ve oyuncuların hesaplarını tehlikeye atma riskini azaltmak, iç güvenlik standartlarına ve düzenleyici gerekliliklere uyumu sağlamak.
Kapsam: Tüm kurumsal hesaplar (SSO/IdP), yönetici panelleri, ödeme ve KYC konsolları, servis/bot hesapları ve oyuncuların kullanıcı hesapları.

2) Temel ilkeler

Varsayılan olarak kimlik avına karşı dayanıklı: FIDO2/WebAuthn ≥ TOTP ≥ İtme ≥ SMS/e-posta OTP (ikincisi - yalnızca bir geri dönüş olarak).
En Az Ayrıcalık + JIT: Ayrıcalıklar minimum ve geçici olarak verilir, promosyon üzerine MFA zorunludur.
Son çare olarak şifreler: parola ve parola yöneticilerine vurgu; "Unutulmaz" kısa şifrelerin yasaklanması.
Varsayılan Olarak Güvenlik: MFA varsayılan olarak etkindir; Kritik eylemler için - re-auth.
Gözlem: tüm kimlik doğrulama/uygulama/sıfırlama olayları - denetim günlüklerinde.

3) Şifre/Parola Gereksinimleri

3. 1 Çalışanlar/yöneticiler

Biçim: pasfraz ≥ 14 karakter, boşluklara izin verilir; 'A1!'gibi' karmaşıklık 'gereksinimleri Yasaktır - bunun yerine, sızıntı kontrolü (yerel olarak/API karma yoluyla).
Yeniden kullanım: Son 10'un yeniden kullanımının yasaklanması, dış hizmetler için kurumsal şifrenin yasaklanması.
Rotasyon: yalnızca tehlikeye girdiğinde/risk altındaysa; Zorunlu periyodik değişiklik - geçerli değildir (zayıf şifreleri önlemek için).
Depolama: sadece kurumsal şifre yöneticisinde; MDM profillerinin dışındaki yerel dosyaları/tarayıcı otomatik kaydetmelerini yasaklayın.

3. 2 Oyuncular

Minimum 10-12 karakter veya parola oluşturucu; Kuvvetin görsel göstergesi; Popüler şifre listelerinin engellenmesi.
"Parolayı göster've" yöneticiden ekle'yi etkinleştirin; Standart olmayan kısıtlamalar getirmeyin (emoji/karakterler - yapabilirsiniz).

4) Karma ve sırlar

Algoritma: Argon2id (bellek ≥ 256 MB, yinelemeler ≥ 3, paralellik ≥ 1); bcrypt (maliyet ≥ 12) yasal olsun.
Tuz: yazma başına benzersiz 16 + bayt. Biber: HSM/KMS'de bir sistem sırrı.
Güncelleştirme: Oturum açarken, yasal karmalar geçerli profile şeffaf bir şekilde "yeniden karılır".
Servis anahtarları/API belirteçleri: "şifreler'değil - gizli bir yönetici, bir programda rotasyon ve olay durumunda yönetin.

5) MFA: Faktörler ve Öncelikler

FaktörPhishing direnciNereye başvurulur
FIDO2/WebAuthn (tuşlar, TouchID/Windows Hello platformu)YüksekÇalışanlar/yöneticiler, oyuncularda yüksek riskli işlemler
TOTP (RFC 6238)ortalamaÇalışanlar ve oyuncular (ana geri dönüş)
Push (uygulamada onay)ortalamaÇalışanlar/oyuncular; MFA yorgunluğuna karşı koruma (hız limiti, maç sayısı)
SMS/e-posta OTPDüşükSadece cihaz kaybı ve düşük risk için bir rezerv olarak
Bir zorunluluk:
  • Yedekleme kodları (10 adet., tek kullanımlık), çevrimdışı depolama;
  • MFA uygulaması: yönetici erişimi ve istisnasız ödeme işlemleri için;
  • Push'ta numara eşleştirme, tek tıkla kabul et.

6) Oturum politikası ve yeniden imza

Süre: Web 12 h (etkileşimli), yönetici konsolu 8 h, kritik paneller 4 h.
Boşta zaman aşımı: Yöneticiler için 15-30 dakika.
MFA ile yeniden auth: ödeme yaparken/ayrıntıları değiştirirken/e-postayı değiştirirken/MFA/API belirteçleri verirken.
Cihaz bağlama: Çalışanlar için MDM/kayıtlı cihaz; Oyuncular için, bir risk puanı ile güvenilir cihazları hatırlamak.

7) Kimlik doğrulama saldırılarına karşı koruma

Kimlik bilgisi doldurma: IP/cihaz/kullanıcı tabanlı oran limitleri, güvenlik gecikmeleri, davranış analizi, sızdırılmış şifre doğrulaması.
Kaba kuvvet: ilerleyici gecikmeler/N başarısızlıklarından sonra captcha; Yumuşak kilitler (geçici), oyuncular için uzun kilitleme yok.
Şifre yayma: anomaliler tarafından tespit (bir şifre ile birçok hesap).
MFA-yorgunluk: istek sınırını, sayı eşleşmesini, kullanıcı bildirimlerini zorlayın.
Bot/anti-otomasyon: WebAuthn tercihen davranışsal sinyaller, TLS-sabitleme, yönetici panelleri için mTLS.

8) Prosedürler (SOP)

8. 1 Çalışan onboarding

1. SCIM üzerinden SSO hesabı;

2. FIDO2 anahtarın verilmesi (minimum 2: main + standby) ve TOTP;

3. Parola yöneticisi yükleme

4. Eğitim kanıtı (phishing, MFA).

8. 2 Cihaz kaybı/MFA sıfırlama

1. Portal üzerinden kendi kendini rapor etme - oturumların geçici olarak engellenmesi;

2. belge doğrulama + süpervizör aracılığıyla onay;

3. Yeni faktörlerin serbest bırakılması;

4. 30 günlük kayıt denetimi.

8. 3 Kırılma camı (acil durum erişimi)

Sadece kurtarma; Faktör: HSM tarafından saklanan ana belirteç + ikinci onaylayıcı; ≤ kez 30 dakika; oturumun tam kaydı; İnceleme sonrası Güvenlik + DPO.

8. 4 Oyuncu şifresini sıfırla

Kanal: E-posta/telefon, tek seferlik bağlantı ≤ 15 dakika; Sıfırlamadan sonra - bir sonraki girişte zorunlu MFA ayarı (bonus/motivasyon ile yumuşak zorlama).

9) Farklı hesap kategorileri için kurallar

9. 1 Çalışanlar/Satıcılar

WebAuthn + TOTP gereklidir; SMS-MFA'yı yasaklamak.
Yöneticilere yalnızca MDM cihazlarından/corp VPN'den erişim; Ayrıcalık tırmanışı üzerine JIT.
Yerel "paylaşılan" hesapların yasaklanması; Sadece adlandırılmış.

9. 2 Oyuncular

MFA soft-forced: motivasyon afişleri, katılım bonusları; Zor - yüksek risk altında (ödemeler/ayrıntı değişikliği).
Erişilebilirlik desteği: anahtar sözcükler/ekran okuyucular, geri dönüş kanalları.

9. 3 Hizmet Hesapları/API'ler

Parola yok; Yalnızca karşılıklı kimlik doğrulama (mTLS, OIDC istemci dizinleri, webhook'ların imzası).
Gizli yöneticideki anahtarlar; rotasyon ve denetim.

10) IdP/SSO ile entegrasyon

Merkezi IdP (OIDC/SAML); Kod olarak RBAC.
Adaptif MFA: Faktörleri risk sinyallerine (geo/yeni cihaz/anomaliler) göre yükseltir.
SCIM sağlama/de sağlama; İşten çıkarıldıktan ≤ 15 dakika sonra gemiye binmek.

11) Günlüğe kaydetme ve denetleme

События (аудит - обязательные): 'LOGIN _ SUCCESS/FAIL', 'MFA _ ENROLL/VERIFY/FAIL', 'PASSWORD _ RESET _ REQUEST/COMPLETE', 'MFA _ RESET', 'DEVICE _ TRUST _ ADD/REMOVE', 'BREAK _ GLASS _ START/END/END', 'ADMIN _ LOGIN', 'RISK _ UPGRADE', 'TOKEN _ ISSUE/REVOKE'.

WORM, imza/karma zincirinde kopyalayın; 'trace _ id', 'actor _ id', 'purpose' kelimelerine bağlanır.

12) Metrikler ve KPI/KRI

MFA'nın benimsenmesi (çalışanlar): %100 WebAuthn, rezerv olarak %100 TOTP.
MFA'nın benimsenmesi (oyuncular): 6 ayda %30-50 ≥ (pazara bağlı olarak).
Güvenliği ihlal edilmiş girişler: 0; Sızan şifrelerin çevrede engellendiği girişimlerin payı %100'dür.
Avg offboard zamanı: ≤ 15 мин.
Push yorgunluk uyarıları/1000 MAU: ↓ MoM.
Parola sıfırlama başarı oranı: Desteğe başvurmadan %98 ≥.
Re-auth kapsamı: Yüksek riskli operasyonlar için %100.

13) Politika örnekleri (snippet'ler)

13. 1 Uzunluk ve sızıntı kontrol politikası (sözde YAML)

yaml password:
min_length: 14 allow_spaces: true banned_lists:
- top100k_common
- organization_keywords breach_check: enabled  # k-anonymity lookup rotation: on_compromise_only

13. 2 MFA-uygulama

yaml mfa:
required_roles:
- admin
- payments
- aml
- kyc required_factors:
- webauthn fallback:
- totp disallowed:
- sms

13. 3 Hassas eylemler için yeniden auth

yaml reauth:
actions:
- change_payout_details
- approve_withdrawal
- change_email
- manage_mfa ttl_minutes: 5

14) Diğer kontrollerle ilişki

RBAC/ABAC/SoD: Rol atama/değiştirme, JIT kaldırma ve 'APPROVE _' işlemleri için MFA zorunludur.
Günlükler ve günlük depolama: "Denetim günlükleri ve erişim izleri", "Günlük depolama politikası'na bakın.
Olaylar: Bir uzlaşmadan şüpheleniliyorsa - hemen şifre + belirteç sıfırlama, oturum hatırlama, adli tıp (bkz. "Veri sızıntısı prosedürleri").

15) Kontrol listeleri

Kimlik doğrulamayı serbest bırakmadan önce

  • WebAuthn etkindir, yedekleme olarak TOTP, yedekleme kodları verilir.
  • Sızan şifreleri ve sözcüksel listeleri kontrol eder.
  • Oran sınırları ve kimlik bilgisi doldurma koruması.
  • Hassas işlemler için yeniden auth.
  • SIEM'de günlükler/denetimler ve uyarılar.

Üç aylık

  • MFA kabul analitiği; Oyuncular için A/B motivasyonları.
  • İtme-yorulma politikalarının gözden geçirilmesi.
  • Servis anahtarı rotasyonu, biber/KMS kontrolü.
  • Egzersizler: FIDO2 anahtar kaybı, TOTP hatası, kırılma camı.

16) Uygulama Yol Haritası

Hafta 1-2: kimlik doğrulama denetimi, WebAuthn ve TOTP'yi etkinleştirmek, ihlal kontrolü yapılandırmak, parola ilkesini güncellemek (parola).
3-4. Haftalar: yüksek riskli, itmede sayı eşleştirme, SIEM uyarıları için yeniden auth uygulayın; FIDO2 anahtarlarını çalışanlara dağıtın.

2. Ay: Adaptif MFA (risk sinyalleri), tam özellikli şifre yöneticisi, self servis sıfırlama portalı, yedekleme kodları.

Ay 3 +: Oyunculara A/B MFA promosyonu, periyodik tatbikatlar, UX optimizasyonu ve MFA-yorgunluk azaltma, KPI raporlama otomasyonu.

TL; DR

Güçlü kimlik doğrulama = pasphrases + WebAuthn (gerekli) + TOTP (rezerv) + riskli eylemler, doldurma/kaba koruma, güçlü karma (Argon2id), şifre yöneticisi ve her adımın denetimi için yeniden auth. Bu, hesap uzlaşmalarını azaltır, uyumluluğu basitleştirir ve doğru yapıldığında UX'i zorlukla ovalar.

Contact

Bizimle iletişime geçin

Her türlü soru veya destek için bize ulaşın.Size yardımcı olmaya her zaman hazırız!

Telegram
@Gamble_GC
Entegrasyona başla

Email — zorunlu. Telegram veya WhatsApp — isteğe bağlı.

Adınız zorunlu değil
Email zorunlu değil
Konu zorunlu değil
Mesaj zorunlu değil
Telegram zorunlu değil
@
Telegram belirtirseniz, Email’e ek olarak oradan da yanıt veririz.
WhatsApp zorunlu değil
Format: +ülke kodu ve numara (örneğin, +90XXXXXXXXX).

Butona tıklayarak veri işlemenize onay vermiş olursunuz.