「Help:二要素認証」の版間の差分

ウィキペディア日本語版 のヘルプページです。

二要素認証 (2FA)は、あなたのアカウントのセキュリティを強化する手段です。ウィキペディアでは、FIDO U2F互換のセキュリティキーとOATH-TOTP(RFC 6238)互換の認証アプリに対応しています。この文書では、ご利用のウィキペディアのアカウントにおいて二要素認証を有効化または無効化する方法を解説します。

二要素認証を有効化する場合、さらなる安全性の向上のため、特別:グローバル個人設定#利用者情報から「メールアドレスと利用者名の両方を入力した場合のみ、パスワード再設定メールを送信する」も併せて有効にしておくことをお勧めします。

なお、ここではMediaWikiのOATHAuth拡張機能による二要素認証について解説しています。アクセス環境の変化などに応じて自動的に発動するメール認証はEmailAuth拡張機能によるもので、ここでは取り扱っていません。EmailAuth拡張機能についての解説はmw:Help:Extension:EmailAuthをご参照ください。

管理者や特権を有する利用者にとって、アカウントのセキュリティを保つことは非常に重要です。数多くのウィキペディアの管理者(共同創設者のJimbo Walesも含む)がアカウントへの不正アクセスを経験しており、百科事典の破壊行為に幾度となく悪用されてきました。これらは広範囲に及ぶ混乱を引き起こしただけでなく、被害を受けた管理者が確実にアカウントを取り戻したと確認されるまでの間アカウントをロックせざるを得ませんでした。

二要素認証を使えば誰でもアカウントのセキュリティを強化できます。この手法は特権を持つ利用者に推奨されており、特に管理者は必ず有効化しておくべきです。

なお、以下の権限は不正アクセス時の被害が甚大となるため、二要素認証が無効の状態ではその権限を行使できません。

• グローバルグループ
  • グローバルインターフェース編集者
  • グローバル管理者
  • 新規ウィキインポート担当者
  • オンブス委員
  • スチュワード
  • システム管理者
• ローカルグループ
  • インターフェース管理者
  • オーバーサイト
  • チェックユーザー
• メタ・ウィキ
  • 中央管理通知管理者
  • インターフェース管理者(メタ・ウィキ)
  • WMFオフィスIT
  • WMF信頼と安全

二要素認証を有効化する前に、ウィキペディア外で使い回されていない強力なパスワード (英語版)を設定していることを確認してください。オンラインアカウント用に強力かつ固有のパスワードを生成できるパスワードマネージャーの利用を検討すると良いかもしれません。

二要素認証の有効化には(oathauth-enable)権限が必要です。ウィキペディア日本語版のローカルグループのうち、(oathauth-enable)権限が付与されているのは以下の通りです。

• 管理者
  • ビューロクラット ^{[注釈 1]}
  • チェックユーザー ^{[注釈 1]}
  • オーバーサイト ^{[注釈 1]}
• 編集フィルター編集者
• 削除者
• インポート担当者
• インターフェース管理者 ^{[注釈 1]}
• 二要素認証を利用できる利用者 ^{[注釈 2]}
• ウィキ間インポート担当者

どのグループにも属していない場合、スチュワードに「二要素認証試験者」グループ^{[注釈 2]} への追加を依頼する必要があります(依頼場所、申請例)。その際、依頼の提出に先立って「meta:Help:二要素認証」に記載された内容をよく理解した旨を依頼文に必ず書き添えてください(今あなたが読んでいるこのページではありません)。

なお、Testwikiなどウィキメディア財団が運営するほかのプロジェクト上で(oathauth-enable)権限が付帯したローカルグループに所属している場合、当該プロジェクトの個人設定画面から二要素認証を有効化する必要があります。一方、二要素認証試験者はグローバルグループなので、追加されればどのプロジェクトからでも二要素認証を有効化できます。^{[注釈 3]}

二要素認証が有効化されているかどうか確認するためには、特別:個人設定#利用者情報へ移動し、「グローバルアカウント」と「グローバル個人設定」の間にある「二要素認証」という項目を探してください。

• 「認証アプリ」または「セキュリティキー」と表示されている場合、二要素認証は有効です。
• 「有効になっていません」と表示されている場合、二要素認証は無効です。
• 「二要素認証」という項目が見つからない場合、現在ログイン中のアカウントでは二要素認証の利用資格がありません。二要素認証の利用資格が付与されているプロジェクトで個人設定を開きなおすか、スチュワードに二要素認証試験者グループへの追加を依頼してください。

ウィキペディアではFIDO U2F互換のセキュリティキーとOATH-TOTP(RFC 6238)互換の認証アプリに対応しており、どちらかまたはその両方を設定できます。それぞれ複数個登録することも可能です^[1] 。

認証アプリは他のサイトでも導入例が多く、すべての方におすすめできます。セキュリティキーをお持ちの方は、認証アプリと併せて利用するとフィッシング対策に役立ちます。一方、セキュリティキーのみを有効化することも可能ですが、現時点ではモバイルアプリ版で利用できないため^[2] 、利便性よりもセキュリティを重視したい方に向いています。

1. (任意)認証アプリをインストールしたデバイスとは別に、ウィキペディア側の設定画面を操作するための端末を用意すると、より作業がしやすいかもしれません。
2. 特別:二要素認証へ移動します。本人確認が求められた場合は、利用者名とパスワードを再入力してください。
3. セキュリティキーを追加をクリックしてください。
4. キーのニックネームの入力が求められます。設定画面での識別に用いるので、任意の名前を入力してください。ニックネームを変更する場合、当該セキュリティキーを一度削除してから再登録する必要があります。
5. 表示されている回復コードを必ずメモし、安全な場所に保管しておいてください。一見区別しにくい文字が含まれることもあるので、特に手書きの場合はルビを振っておくことを強くお勧めします。
6. 回復コードを正確に控えたことを再度確かめてから、キーを追加を押して登録作業を行ってください。操作方法はお使いの端末やブラウザによって異なります。
7. セキュリティキーが追加されました。というメッセージが表示されれば完了です。節「#回復コード」を必ずお読みください。

いくつか注意点があります。

• 現在、モバイルアプリ版はセキュリティキーをサポートしていません。^[2]
• 同期パスキーやパスワードレスログインは対応していません。^[3]
• ウィキペディアの場合、スマートフォン・タブレット・パソコン自体をセキュリティキーとして利用することはできません。公式の販路で購入した信頼性の高いセキュリティキーをご利用ください。

1. (任意)認証アプリをインストールしたデバイスとは別に、ウィキペディア側の設定画面を操作するための端末を用意すると、より作業がしやすいかもしれません。
2. 特別:二要素認証へ移動します。本人確認が求められた場合は、利用者名とパスワードを再入力してください。
3. 認証アプリを追加するをクリックしてください。
4. 登録情報のニックネームの入力が求められます。設定画面での識別に用いるので、任意の名前を入力してください。ニックネームを変更する場合、当該登録情報を一度削除してから再登録する必要があります。
5. 表示されたQRコードを認証アプリでスキャンするか、秘密鍵を直接入力してください。どちらの方法でも同じ二要素認証トークンを得られます。
6. ウィキペディア側の設定画面に戻ります。秘密鍵と一緒に16桁の回復コードが表示されているはずです。表示されている回復コードを必ずメモし、安全な場所に保管しておいてください。一見区別しにくい文字が含まれることもあるので、特に手書きの場合はルビを振っておくことを強くお勧めします。
7. 回復コードを正確に控えたことを再度確かめてから、確認欄に二要素認証トークンを入力し、送信ボタンを押してください。
8. 認証アプリが追加されました。というメッセージが表示されれば完了です。節「#回復コード」を必ずお読みください。

いくつか注意点があります。

• 一つの秘密鍵を複数の認証用デバイスで共有することも可能ですが、そのうち一台でも何らかの理由により破棄する場合は、安全のために既存の認証アプリの登録情報を削除してください。この場合、再登録時にもう一度すべての認証用デバイスに秘密鍵を再設定する必要があります。

一般的に、パソコンではなくスマートフォン・タブレットを用いるほうが、利便性も安全性も高いです。基本的にいつも身に着けていることから、すぐ取り出せる上に離席中に盗み見られる心配もないためです。

• Aegis Authenticator
  • FOSS:〇
  • Android:Google Play、F-Droid
  • iOS:なし
• iCloudキーチェーン
  • ×ばつ
  • Android:なし
  • iOS:OSに付属
• Authenticator
  • FOSS:〇
  • Android:なし
  • iOS:App Store
• Ente Auth
  • FOSS:〇
  • Android:Google Play、F-Droid
  • iOS:App Store
• FreeOTP
  • FOSS:〇
  • Android:Google Play、F-Droid
  • iOS:App Store
• Google Authenticator
  • ×ばつ
  • Android:Google Play
  • iOS:App Store
• Microsoft Authenticator
  • ×ばつ
  • Android:Google Play
  • iOS:App Store
• Numberstation
  • ×ばつ
  • Linux(Mobian (英語版)、Ubuntu Touch、その他、ただしAndroidは除く):パッケージ管理システムまたはターミナルからインストールしてください。AppStreamを導入済の場合はこちらも利用可能です。

前節「#認証アプリの例(スマートフォン・タブレット)」でも述べたように、パソコンではなくスマートフォン・タブレットを用いるほうが、利便性も安全性も高いです。パソコンに認証アプリをインストールして用いる場合は、アカウントのパスワードが第三者に知られるリスクがないか徹底的に検証してください。

また、スマートフォン・タブレットに比べるとアプリの種類が充実していないため、あなたにとって必要な機能がそろっていない可能性があります。パソコンに認証アプリを導入する形での運用で問題がないか、今一度検討してください。

• WinAuth
  • FOSS:〇
  • Windows:GitHub
  • macOS:なし
  • Linux:なし
  • Web:なし

• Authenticator
  • FOSS:〇
  • Windows:なし
  • macOS:なし
  • Linux:Flathub(Authenticatorの動作にはFlatpakも必要です。すべてのLinuxディストリビューションで動作します。インストール方法等は公式ヘルプに記載されています。)
  • Web:なし

• KeeWeb
  • FOSS:〇
  • Windows:GitHub
  • macOS:GitHub
  • Linux:GitHub
  • Web:KeeWeb WebApp

何らかの理由により、認証用デバイスを変更を希望することがあるかもしれません。例えば、機種変更したときや、セキュリティキーを購入した時などです。

以前は二要素認証をいったん無効化する必要がありましたが、複数の認証用デバイスを登録できるようになったことにより^[1] 、簡単に操作できるようになりました。

1. 特別:AccountSecurityに移動します。
2. 本人確認が要求された場合は、指示に従って再認証してください。
3. 追加する認証用デバイスについて、#二要素認証の有効化の手順に従って登録処理を行ってください。
4. 削除する認証用デバイスについて、デバイス一覧の中から該当するものを選び、表示された除去ボタンを押してください。

認証アプリをご利用の場合で、すべての認証用デバイスにおなじ秘密鍵を設定している方は、既存の登録情報を削除すると現在有効な認証用デバイスがすべて利用できなくなります。引き続き利用する認証用デバイスがあれば、必ずそのすべてに新たに発行された秘密鍵を再登録してください。

なお、認証用デバイスをすべて削除した場合、二要素認証が完全に無効化され、現在の回復コードが失効します。再有効化時には新しい回復コードが発行されるので、忘れずにメモを取り直してください。

×ばつ4桁の英大数字で構成された回復コードが10個発行されます。認証用デバイスの盗難などにより認証アプリにアクセスできなくなった場合に、回復コードで二要素認証トークンを代用できます。その際、スペースの有無は区別されませんが、英小文字を使用するとログインに失敗します。

リムーバブルメディアに保存するか紙に印刷するなど、安全かつオフラインな場所に必ず保管してください。メモを取り忘れた場合、特別:AccountSecurityから再表示できます^[4] 。

万が一、認証用デバイスも回復コードも利用できなくなった場合は、アカウントから完全にロックアウトされます。

• 以下のいずれかに該当する場合は、速やかに特別:AccountSecurityから回復コードを再生成してください。
  • 回復コードを1個でも利用したとき
  • 回復コードが漏洩した可能性があるかもしれないとき
• 回復コードはそれぞれ1回限り有効です。
• 認証用デバイスを利用できない状態で二要素認証を無効化するには、回復コードが最大2個必要です(ログイン時に1個、設定画面入場時の本人確認に1個)。
• 回復コードを認証用デバイスと一緒に保管しないでください。認証用デバイスを紛失した場合、回復コードも併せて失われてしまうためです。
• 回復コードには一見区別しにくい文字が含まれることもあるので、特に手書きの場合はルビを振っておくことを強くお勧めします。
• Wikipedia:アカウントのセキュリティの指示には引き続き従う必要があります。あなたの名前や誕生日など、辞書攻撃により推測されやすい文字列をパスワードに指定しないでください。他人が視認でき得る場所にパスワードを書き留めないでください。また、学校・図書館・空港などに設置された共有の端末からウィキペディアにログインするのは避けましょう。
• 特別:メールアドレスの変更から、送受信可能な確認済みメールアドレスがアカウントに紐づけられているかどうか確認してください。緊急時にサポートが受けられる可能性があります。また、なりすましを防ぐため、メールアカウントのセキュリティにも十二分に気を配ってください。

回復コードの再生成は、特別:AccountSecurityからいつでも行えます。以前はいったん二要素認証を無効化する必要がありましたが、現在はその必要はありません。

逆に、認証用デバイスをすべて削除した場合、二要素認証が完全に無効化され、現在の回復コードが失効します。再有効化時には新しい回復コードが発行されるので、忘れずにメモを取り直してください。

なお、以下のいずれかに該当する場合は、速やかに回復コードを再生成してください。

• 回復コードを1個でも利用したとき
• 回復コードが漏洩した可能性があるかもしれないとき

認証用デバイスも回復コードも利用できなくなった場合、アクセスの回復は非常に困難です。まずは、アカウントに紐づけられた確認済みメールアドレスからca@wikimedia.orgへリクエストを送信してみて下さい。WMF信頼と安全チームによる厳格な本人確認を通過すれば、アカウントを復旧できるかもしれません。リクエストが拒否された場合は、残念ながらアカウントを再作成するしかありません。

自動でブラウザがプロンプトを表示するため、指示に従ってセキュリティキーを操作してください。うまくいかなかった場合は、ページを再読み込みを押すと再試行できます。

なお、セキュリティキーと認証アプリの両方を登録している場合、セキュリティキーが優先されます。認証アプリでのログインに切り替えるときは、ブラウザによって表示されたプロンプトをキャンセルしてから認証アプリでログインを押してください。

認証アプリを開き、数字6桁の二要素認証トークンを確認してください。正しく入力するとログインが完了します。

二要素認証トークンは時刻ベースなので、操作中にトークンが更新される場合があります。2分以内の誤差であれば許容される仕様となってますが^[5] 、認証できなかった場合は最新の二要素認証トークンを再取得してください。通常、トークンの有効期限が切れそうになると認証アプリが通知します(Google Authenticatorの場合、数字の色が青から赤に変わります)。

回復コードは大文字と小文字を区別するため、すべて大文字で入力する必要があります。一方、スペースの有無は区別しません。

仕様上、認証アプリの二要素認証トークンの入力画面で回復コードを入力してもログインできます(回復コードの入力画面で認証アプリの二要素認証トークンを入力した場合は動作しません)。

AndroidやiOS向けに提供されている公式アプリを利用する場合も、二要素認証トークンを要求された際には、ウェブ版と同様に操作する必要があります。

回復コードを使う場合、二要素認証トークンの欄に入力してください。回復コードは大文字と小文字を区別するため、すべてすべて大文字で入力する必要があります。一方、スペースの有無は区別しません。

• AutoWikiBrowserやHuggleなど、ほとんどのAPIログインクライアントは二要素認証をサポートしていません。代わりにボットパスワードを作成できます。詳細は、Wikipedia:AWBを二要素認証下で使う (英語版)やmw:Manual:Huggle/Bot passwords/jaを参照してください。
• 二要素認証をAPIで行うには、クライアント側で特別な設定が必要です。

二要素認証を完全に無効化する場合は、次のように操作します。

1. 特別:AccountSecurityに移動します。
2. 本人確認が要求された場合は、指示に従って再認証してください。
3. 登録済みの認証用デバイスを選び、表示された除去ボタンを押してください。
4. デバイス一覧が空になるまで削除を繰り返します。
5. (任意)認証用デバイス側に登録された秘密鍵等を削除します。

二要素認証を完全に無効化すると、現在の回復コードはすべて失効します。再有効化時には新しい回復コードが発行されるので、忘れずにメモを取り直してください。

バグが原因である場合を除き、なるべく早く再有効化することをお勧めします。

入力にかかる時間やネットワークの遅延を想定し、2分以内の誤差であれば許容される仕様となってますが^[5] 、これを超えるとログインが拒否されます。そのため、認証用デバイスの時計はある程度正確に保ってください。

なお、ほどんどのスマートフォン・タブレット・パソコンは、インターネットに接続されている場合、自動的に時計を補正する仕組みになっています。そのため、デバイスがオンラインの状態であれば、通常は特に操作不要です。

(oathauth-enable)権限が付与された利用者グループに所属していない場合、スチュワードに二要素認証試験者グループへの追加を依頼しなければならない場合があります。

• 疑問がある場合は、Wikipedia:利用案内やWikipedia:井戸端で質問してください。
• 本文書に訂正すべき箇所が生じた場合は、ノートページに書き残してください。ただし、緊急性が高いと考える場合は、冒頭に{{Notice|警告する内容|style=warning}}を設置することで告知することもできます。
• 問題が発生した場合は、info-ja@wikimedia.orgへメールを送信してください。VRTが対応します。ウィキペディアのアカウントをお持ちの場合は、確認済みメールアドレスをご利用いただくことを強く推奨します。
• 技術的な問題はプロジェクト:ウィキ技術部やWikipedia:井戸端で議論してください。
• #wikipedia-ja ^接続 や#wikipedia-tech ^接続 にご参加ください。
• メタウィキでの二要素認証に関する説明は、meta:Help:Two-factor_authentication/jaをご覧ください。
• 認証アプリの比較 (英語版)にある通り、ここで紹介したもの以外にも著名かつ互換性のある認証アプリはたくさんあります。認証アプリ固有のお問い合わせについては、各発行元にお尋ねください。

• ヘルプ