GH GambleHub

Maxfiy siyosat va MFA

1) Maqsadlar va amal qilish sohasi

Maqsad: xodimlar/sheriklar va o’yinchilarning hisob raqamlarini buzish xavfini kamaytirish, ichki xavfsizlik standartlari va regulyatorlar talablariga muvofiqligini ta’minlash.
Qamrov: barcha korporativ akkauntlar (SSO/IdP), ma’muriy panellar, to’lov va KYC konsollari, servis/bot akkauntlari, shuningdek, o’yinchilarning foydalanuvchi akkauntlari.

2) Bazaviy prinsiplar

Fishing-resistant andoza: FIDO2/WebAuthn ≥ TOTP ≥ Push ≥ SMS/e-mail OTP (faqat fallback sifatida).
Least Privilege + JIT: imtiyozlar minimal va vaqtinchalik beriladi, MFA oshirilganda majburiy hisoblanadi.
Passwords as last resort: pasfruzalar va parol menejerlariga urg’u berish; «esdalik» qisqa parollarni taqiqlash.
Security by Default: MFA andoza tarzda yoqilgan; tanqidiy harakatlar uchun - re-auth.
Observability: autentifikatsiya/buyurtmanomalar/tashlashlarning barcha hodisalari auditorlik jurnallarida.

3) Parol/pasfruzalarga qo’yiladigan talablar

3. 1 Xodimlar/ma’murlar

Format: 14 belgidan ≥ pasfriza, bo’shliqlarga yo’l qo’yiladi; «A1!» tipidagi «murakkablik» ga qo’yiladigan talablar taqiqlanadi - buning o’rniga sizib chiqishni tekshirish (have-I-been-pwned-stil lokal/API-xesh orqali).
Qayta foydalanish: oxirgi 10 ta reuse-ni taqiqlash, tashqi xizmatlar uchun korporativ parolni taqiqlash.
Rotatsiya: faqat murosaga kelish/tavakkalchilikda; majburiy davriy almashtirish - qo’llanilmaydi (zaif parollarning oldini olish uchun).
Saqlash: faqat korporativ parol menejerida; MDM profillaridan tashqarida lokal fayllar/brauzer avtomatik saqlash taqiqlanadi.

3. 2 Oʻyinchilar

Kamida 10-12 belgi yoki pasfraz generatori; kuchning vizual indikatsiyasi; mashhur parollar roʻyxati bloki.
«Maxfiy soʻzni koʻrsatish» va «menejerdan qoʻyish» ni yoqish; nostandart cheklovlarni yuklamaslik (emoji/belgilar - mumkin).

4) Xeshlash va sirlar

Algoritm: Argon2id (xotira ≥ 256 MB, iteratsiya ≥ 3, parallellik ≥ 1); bcrypt (cost ≥ 12) legasi sifatida.
Tuz: yozish uchun noyob 16 + bayt. Qalampir (pepper): HSM/KMSdagi tizimli sir.
Yangilash: legasi xeshini joriy profilga shaffof ravishda «almashtirish».
Servis kalitlari/API-tokenlar: «parollar» emas - sirli menejer orqali boshqarish, jadval bo’yicha va hodisalarda rotatsiya qilish.

5) MFA: omillar va ustuvorliklar

OmilFishingga chidamlilikQayerda qo’llash kerak
FIDO2/WebAuthn (kalitlar, TouchID/Windows Hello platformasi)yuqorixodimlar/ma’murlar, o’yinchilarda yuqori xavfli operatsiyalar
TOTP (RFC 6238)o’rtaxodimlar va o’yinchilar (asosiy fallback)
Push (ilovada tasdiqlash)o’rtaxodimlar/o’yinchilar; MFA-fatigue (rate-limit, number-match) dan himoyalanish
SMS/e-mail OTPpastfaqat qurilmani yo’qotishda va low-risk uchun zaxira sifatida
Albatta:
  • zaxira backup-kodlar (10 dona, bir martalik), oflayn saqlash;
  • MFA-enforcement: ma’muriy kirish va to’lov harakatlari uchun istisnosiz;
  • Number-matching in push, taqiqlash «bir marta bosish bilan rozi bo’lish».

6) Sessiyalar va re-auth siyosati

Davomiyligi: web 12 soat (interaktiv), ma’muriy konsollar 8 soat, tanqidiy panellar 4 soat.
Idle timeout: ma’murlar uchun 15-30 min.
MFA bilan Re-auth: to’lovlar/rekvizitlar o’zgarganda/e-mail/MFA o’zgarganda/API tokenlari berilganda.
Device binding: MDM/xodimlar uchun roʻyxatdan oʻtgan qurilma; o’yinchilar uchun - tavakkalchilik baholangan ishonchli qurilmalarni eslab qolish.

7) Autentifikatsiyalash hujumlaridan himoya qilish

Credential stuffing: IP/device/user-based rate-limits, himoya kechikishlari, xulq-atvor tahlili, sizib chiqqan parollarni tekshirish.
Brute force: N muvaffaqiyatsizlikdan keyingi progressiv kechikishlar/kapcha; yumshoq blokirovka (vaqtinchalik), o’yinchilar uchun uzoq muddatli blokirovkasiz.
Password spraying: anomaliyalar boʻyicha deteksiya (bir parolli koʻplab akkauntlar).
MFA-fatigue: push-soʻrovlar limiti, number-match, foydalanuvchiga bildirishnomalar.
Bot/anti-automation: WebAuthn afzal, xulq-atvor signallari, TLS-fiksatsiya, ma’muriy panellar uchun mTLS.

8) Tartib-taomillar (SOP)

8. 1 Xodim onbording

1. SCIM orqali SSO-hisob;

2. FIDO2-kaliti (kamida 2: asosiy + zaxira) va TOTP berish;

3. parol menejerini o’rnatish;

4. o’qishni tasdiqlash (fishing, MFA).

8. 2 Qurilmani yo’qotish/MFAni tashlash

1. Portal orqali o’zini o’zi hisoblash → sessiyalarni vaqtincha blokirovka qilish;

2. hujjatlar bo’yicha verifikatsiya qilish + rahbar orqali tasdiqlash;

3. yangi omillarni chiqarish;

4. 30 kun oldin kirish jurnalining auditi.

8. 3 Break-glass (avariya holatida kirish)

Faqat tiklash uchun; omil: HSM saqlanadigan master-token + ikkinchi tasdiqlovchi; ≤ vaqti 30 daqiqa; sessiyaning to’liq yozuvi; post-revyu Security + DPO.

8. 4 Oʻyinchining parolini bekor qilish

Kanal: e-mail/telefon, bir martalik havola ≤ 15 daqiqa; tashlangandan keyin - keyingi kirishda MFAni majburiy sozlash (bonus/motivatsiya bilan yumshoq majburlash).

9) Hisobga olishning turli toifalari uchun qoidalar

9. 1 Xodimlar/vendorlar

Majburiy WebAuthn + TOTP; SMS-MFAni taqiqlash.
Ma’murlarga faqat MDM qurilmalari/korp-VPN bilan kirish; imtiyozlarni oshirishda JIT.
Mahalliy «umumiy» akkauntlarni taqiqlash; faqat nomlanganlar.

9. 2 Oʻyinchilar

MFA yumshoq majburiy: motivatsion bannerlar, kiritish uchun bonuslar; qattiq - high-riskda (to’lovlar/rekvizitlarning o’zgarishi).
Foydalanishni qo’llab-quvvatlash: asosiy iboralar/ekran o’quvchilari, fallback kanallari.

9. 3 Servis hisoblari/API

Maxfiy soʻzlarsiz; faqat o’zaro autentifikatsiya (mTLS, OIDC client-creds, vebxuklarning imzosi).
Maxfiy menejerdagi kalitlar; rotatsiya va audit.

10) IdP/SSO bilan integratsiya

Markaziy IdP (OIDC/SAML); rollarga guruhli bogʻlash (RBAC as code).
Adaptive MFA: xavf-signallar (geo/yangi qurilma/anomaliyalar) bo’yicha omillarni kuchaytirish.
SCIM-provijening/de-provijening; offboarding ≤ ishdan bo’shatilgandan keyin 15 daqiqa.

11) Jurnallashtirish va audit

События (аудит-обязательные): `LOGIN_SUCCESS/FAIL`, `MFA_ENROLL/VERIFY/FAIL`, `PASSWORD_RESET_REQUEST/COMPLETE`, `MFA_RESET`, `DEVICE_TRUST_ADD/REMOVE`, `BREAK_GLASS_START/END`, `ADMIN_LOGIN`, `RISK_UPGRADE`, `TOKEN_ISSUE/REVOKE`.

WORM nusxasi, imzo/xesh-zanjirlar; ’trace _ id’,’actor _ id’,’purpose’ga bogʻlash.

12) Metrika va KPI/KRI

MFA adoption (xodimlar): 100% WebAuthn, 100% TOTP zaxira sifatida.
MFA adoption (o’yinchilar): 6 oyda 30-50% ≥ (bozorga qarab).
Compromised logins: 0; perimetrda to’sib qo’yilgan maxfiy so’zlar bilan urinishlar ulushi - 100%.
Avg time to offboard: ≤ 15 мин.
Push fatigue alerts/1000 MAU: ↓ MoM.
Password reset success rate: ≥ 98% safportga murojaat qilmasdan.
Re-auth coverage: 100% high-risk operatsiyalari uchun.

13) Siyosatchilar misollari (parchalar)

13. 1 Oqishni tekshirish va uzunlik siyosati (psevdo-YAML)

yaml password:
min_length: 14 allow_spaces: true banned_lists:
- top100k_common
- organization_keywords breach_check: enabled  # k-anonymity lookup rotation: on_compromise_only

13. 2 MFA-enforsment

yaml mfa:
required_roles:
- admin
- payments
- aml
- kyc required_factors:
- webauthn fallback:
- totp disallowed:
- sms

13. Sezgir harakatlar uchun 3 Re-auth

yaml reauth:
actions:
- change_payout_details
- approve_withdrawal
- change_email
- manage_mfa ttl_minutes: 5

14) Boshqa nazorat bilan o’zaro bog’liqlik

RBAC/ABAC/SoD: MFA rollarni tayinlashda/o’zgartirishda, JIT ko’tarishda va’APPROVE _’operatsiyalarida majburiydir.
Jurnallar va loglarni saqlash: «Auditorlik jurnallari va kirish izlari», «Loglarni saqlash siyosati» ga qarang.
Noxush hodisalar: kompromatatsiyaga shubha tug’ilganda - darhol password + token reset, sessiyalarni chaqirib olish, forenzika («Ma’lumotlar sizib chiqqanda protseduralar» ga qarang).

15) Chek-varaqlar

Autentifikatsiyadan oldin

  • WebAuthn kiritilgan, TOTP zaxira sifatida, backup kodlar beriladi.
  • Maxfiy soʻz va leksik roʻyxatlarni tekshirish.
  • Rate-limits va credential stuffing himoyasi.
  • Sezgir operatsiyalar uchun Re-auth.
  • SIEM da log/audit va alertlar.

Har chorakda

  • MFA qabul qilish tahlili; Futbolchilar uchun A/B-motivatorlar.
  • Push-charchoq siyosatchisi.
  • Xizmat kalitlarini almashtirish, qalampirni tekshirish/KMS.
  • Mashqlar: FIDO2 kalitini yo’qotish, TOTP nosozligi, break-glass.

16) Joriy etish yo’l xaritasi

Haftalar 1-2: autentifikatsiya auditi, WebAuthn va TOTPni yoqish, breach-check ni sozlash, parol siyosatini yangilash.
3-4 haftalar: high-risk uchun re-auth, push uchun number-matching, SIEM-alertlarni joriy etish; FIDO2 kalitlarini xodimlarga tarqatish.
2-oy: moslashuvchan MFA (xavf-signallar), to’liq funksional parol menejeri, self-service portali, backup-kodlar.
3-oy +: A/B o’yinchilarga MFAni targ’ib qilish, davriy mashg’ulotlar, UXni optimallashtirish va MFA-fatigue ni kamaytirish, KPI hisobotini avtomatlashtirish.

TL; DR

Kuchli autentifikatsiya = passfress + WebAuthn (majburiy) + TOTP (zaxira) + re-auth xatarli harakatlar uchun, stuffing/brute himoyasi, ishonchli xeshlash (Argon2id), parol boshqaruvchisi va har bir qadam auditi. Bu hisoblarni buzishni kamaytiradi, talablarga javob berishni soddalashtiradi va agar to’g’ri bajarilsa UXni deyarli yo’q qiladi.

Contact

Biz bilan bog‘laning

Har qanday savol yoki yordam bo‘yicha bizga murojaat qiling.Doimo yordam berishga tayyormiz.

Telegram
@Gamble_GC
Integratsiyani boshlash

Email — majburiy. Telegram yoki WhatsApp — ixtiyoriy.

Ismingiz ixtiyoriy
Email ixtiyoriy
Mavzu ixtiyoriy
Xabar ixtiyoriy
Telegram ixtiyoriy
@
Agar Telegram qoldirilgan bo‘lsa — javob Email bilan birga o‘sha yerga ham yuboriladi.
WhatsApp ixtiyoriy
Format: mamlakat kodi va raqam (masalan, +998XXXXXXXX).

Yuborish orqali ma'lumotlaringiz qayta ishlanishiga rozilik bildirasiz.