密碼政策和MFA
1)目標和範圍
目標:降低員工/合作夥伴和參與者賬戶受損的風險,確保符合內部安全標準和監管要求。
覆蓋範圍:所有公司帳戶(SSO/IdP),管理面板,支付和KYC控制臺,服務/機器人帳戶以及用戶玩家帳戶。
2)基本原則
默認的抗命:FIDO2/WebAuthn ≥ TOTP ≥ Push ≥ SMS/e-mail OTP(後者僅作為後退)。
Least Privilege+JIT:特權是最低限度的和暫時的,MFA在提升時是強制性的。
Passwords as last resort:專註於pasphrases和密碼管理器;禁止「紀念」短密碼。
默認安全:默認情況下啟用MFA;對於關鍵動作-re-auth。
Observability:審計日誌中的所有身份驗證/申請/重置事件。
3) 密碼/pasphrases要求
3.1名工作人員/管理人員
格式:pasfrasa ≥ 14個字符,允許空格;禁止對「A1!」類型的「復雜性」要求-取而代之的是泄漏檢查(在本地/通過API哈希)。
重新使用:禁止最後10次重新使用,禁止外部服務的企業密碼。
輪換:僅限於危害/風險;強制性周期性更換-不適用(避免密碼弱)。
存儲:僅在公司密碼管理器中;禁止MDM配置文件之外的本地文件/瀏覽器自動保存。
3.2名球員
至少10-12個字符或pasfraz生成器;力量的視覺指示;通用密碼列表塊。
啟用「顯示密碼」和「從管理器插入」;不要施加非標準限制(表情符號/字符-可用)。
4)哈希和秘密
算法:Argon2id(內存≥ 256 MB,叠代≥ 3,並發≥ 1);假設bcrypt(cost ≥ 12)為legasi。
鹽:每條唯一的16個以上的字節。胡椒(pepper): HSM/KMS中的系統秘密。
更新:在登錄時,legasi哈希透明地「重新哈希」到當前配置文件。
服務密鑰/API令牌:不是「密碼」-通過秘密管理器、定時輪換和事件進行管理。
5) MFA: 因素和優先事項
必須的
備份代碼(10件,一次性),離線存儲;
MFA實施: 無例外的管理訪問和支付操作;
推中的數字匹配,禁止「一鍵同意」。
6)會議政策和re-auth
持續時間:web 12小時(交互),admin控制臺8小時,關鍵面板4小時。
Idle timeout:海軍上將15-30分鐘。
Re-auth with MFA: 在付款/更改詳細信息/更改電子郵件/MFA/發出 API令牌時。
設備綁定:MDM/員工註冊設備;對於玩家來說-記住值得信賴的風險評估設備。
7)防止身份驗證攻擊
Credential stuffing: IP/device/基於用戶的 rate-limits,保護延遲,行為分析,檢查泄漏的密碼。
Brute force:N 失敗後的漸進延遲/kapcha;軟鎖定(臨時),對玩家沒有持久的鎖定。
密碼拼寫:異常檢測(許多單一密碼帳戶)。
MFA-fatigue:推送請求限制,數字匹配,通知用戶。
Bot/anti-automation: WebAuthn優選,行為提示,TLS固定,mTLS用於管理面板。
8)程序(SOP)
8.1 Onbording員工
1.通過SCIM的SSO帳戶;
2.發出FIDO2密鑰(最低2: 主要+備份)和TOTP;
3.設置密碼管理器;
4.培訓確認(網絡釣魚、MFA)。
8.2 設備丟失/MFA重置
1.通過門戶自我報告→暫時阻止會議;
2.文件核實+通過管理人員確認;
3.新因素的發布;
4.30天的入場日誌審核。
8.3破玻璃(緊急通道)
僅用於恢復;一個因素:HSM存儲的主令牌+第二個批準者;時間≤ 30分鐘;會議的全部記錄;Security+DPO後評論。
8.4重置玩家密碼
頻道:電子郵件/電話,一次性鏈接≤ 15分鐘;重置後-下次登錄時必須設置MFA(帶有獎勵/動機的軟脅迫)。
9)不同類別帳戶的規則
9.1名員工/供應商
WebAuthn+TOTP是必需的;SMS-MFA禁令。
僅通過MDM 設備/corp-VPN訪問管理程序;JIT提升特權。
禁止本地「共享」帳戶;僅限命名。
9.2名球員
MFA輕度強制:激勵橫幅,包括獎金;在高風險(付款/更改道具)下硬。
可用性支持:關鍵短語/屏幕閱讀器,fallback提要。
9.3 服務帳戶/API
沒有密碼;只有相互身份驗證(mTLS, OIDC client-creds, webhook簽名)。
密碼管理員的鑰匙;輪換和審計。
10)與IdP/SSO的集成
中央IdP(OIDC/SAML);組綁定到角色(RBAC作為代碼)。
Adaptive MFA:通過風險信號(地理/新設備/異常)增強因素。
SCIM-provigening/de provigening;離職後≤ 15分鐘。
11)日誌和審計
События (аудит-обязательные): `LOGIN_SUCCESS/FAIL`, `MFA_ENROLL/VERIFY/FAIL`, `PASSWORD_RESET_REQUEST/COMPLETE`, `MFA_RESET`, `DEVICE_TRUST_ADD/REMOVE`, `BREAK_GLASS_START/END`, `ADMIN_LOGIN`, `RISK_UPGRADE`, `TOKEN_ISSUE/REVOKE`.
WORM中的副本,簽名/散列鏈;綁定到「trace_id」、「actor_id」、「purpose」。
12)度量標準和KPI/KRI
MFA adoption(員工):100% WebAuthn, 100% TOTP作為儲備。
MFA adoption(玩家):6個月≥ 30-50%(取決於市場)。
Compromised logins: 0;密碼泄漏被鎖定在周邊的嘗試比例為100%。
Avg time to offboard: ≤ 15 мин.
Push fatigue alerts/1000 MAU: ↓ MoM.
Password reset success rate: ≥ 98%不使用劄幌。
Re-auth coverage: 100%用於高風險操作。
13)策略示例(片段)
13.1長度和泄漏檢查策略(偽YAML)
yaml password:
min_length: 14 allow_spaces: true banned_lists:
- top100k_common
- organization_keywords breach_check: enabled # k-anonymity lookup rotation: on_compromise_only13.2 MFA註釋
yaml mfa:
required_roles:
- admin
- payments
- aml
- kyc required_factors:
- webauthn fallback:
- totp disallowed:
- sms13.3 Re-auth用於敏感活動
yaml reauth:
actions:
- change_payout_details
- approve_withdrawal
- change_email
- manage_mfa ttl_minutes: 514)與其他控制器的關系
RBAC/ABAC/SoD:在分配/更改角色,JIT提升和「APPROVE_」操作時,MFA是強制性的。
日誌和日誌存儲:請參閱「審計日誌和訪問痕跡」,「日誌存儲策略」。
事件:如果懷疑有罪-立即密碼+令牌重置,召回會議,強制(請參閱「數據泄露程序」)。
15)支票單
身份驗證發布之前
- WebAuthn已啟用,TOTP作為備份,已發布備份代碼。
- 檢查泄露的密碼和詞匯表。
- 利率限制和信用抑制保護。
- Re-auth用於敏感操作。
- SIEM中的Logi/審核和 Alerta。
每季度
- MFA接受分析;A/B激勵器為玩家。
- 咆哮推疲勞的政治家。
- 服務密鑰輪換,胡椒檢查/KMS。
- 演習:FIDO2鑰匙丟失,TOTP故障,破玻璃。
16)實施路線圖
1-2周:審核身份驗證,啟用WebAuthn和TOTP,設置突破檢查,更新密碼策略(pasphrases)。
第3周至第4周:引入re-auth進行高風險,數字對決,SIEM-alerta;向員工分發FIDO2鑰匙。
第2個月:自適應MFA(風險信號),功能齊全的密碼管理器,自助服務重置門戶,備份代碼。
月3+:向玩家推廣MFA,定期演習,UX優化和降低MFA,KPI報告自動化。
TL;DR
強大的身份驗證=pasfrases+WebAuthn(必備)+TOTP(儲備金)+re-auth用於風險活動,stuffing/brute保護,強大的哈希(Argon2id)、密碼管理器和每個步驟的審核。這樣可以減少帳戶的損害,簡化合規性,並且如果能勝任的話,幾乎沒有UX跟蹤。