Дапамога:Двухфактарная аўтэнтыфікацыя

Укараненьне ў Вікімэдыі двухфактарнай аўтэнтыфікацыі (2FA) — спосаб узмацніць бясьпеку вашага ўліковага запісу. Калі вы ўключыце двухфактарную аўтэнтыфікацыю, у дадатак да паролю кожны раз пры ўваходзе ва ўліковы запіс вас будуць запытваць аднаразовы шасьціразрадны код аўтэнтыфікацыі. Гэты код прадастаўляецца праграмай на вашым смартфоне ці іншай прыладзе аўтэнтыфікацыі. Каб увайсьці, вы мусіце ведаць пароль і мець прыладу аўтэнтыфікацыі дзеля генэрацыі коду.

Двухфактарная аўтэнтыфікацыя ў Вікімэдыі пакуль што экспэрымэнтальная і неабавязковая (з пэўнымі выключэньнямі). Актывацыя патрабуе дазволу (oathauth-enable), у цяперашні час тэсьціцца адміністратарамі (і ўдзельнікамі з правамі адміністратараў накшталт рэдактараў інтэрфэйсу), бюракратамі, правяраючымі ўдзельнікамі, рэвізорамі, ст’юардамі, кіраўнікамі фільтраў злоўжываньняў і глябальнай групай тэстэраў OATH.

• Групы, якія вымагаюць двухфактарнай аўтэнтыфікацыі

• Мець правы (oathauth-enable)
• Мець ці ўсталяваць кліент часавага аднаразовага альгарытму пароляў (TOTP). Для большасьці ўдзельнікаў гэта будзе праграма для тэлефону ці пляншэту. Звычайна рэкамэндаваныя праграмы такія:
  • З адкрытым крынічнікам: FreeOTP (Android, iOS), andOTP (Android), Authenticator (iOS), Authenticator.cc (Chrome, Firefox і Edge), Passman (NextCloud), KeePassXC (Linux, macOS, Windows)
  • З закрытым крынічнікам: Authy (Android, iOS), Google Authenticator (Android iOS)
  • Агульнае параўнаньне розных праграмаў OTP, якія можна выкарыстаць як кліент TOTP для двухфактарнай аўтэнтыфікацыі (ангельская Вікіпэдыя)
  • Можаце таксама скарыстацца кліентам для ПК, напрыклад OATH Toolkit (Linux, macOS праз Homebrew) ці WinAuth (Windows). Памятайце, што калі вы ўваходзіце з кампутара, на якім генэруюцца TOTP-коды, такі падыход не абараняе ваш уліковы запіс, калі злодзей авалодае вашым кампутарам.
  • Такія кіраўнікі пароляў, як Bitwarden ці KeePass, таксама могуць падтрымліваць/маюць дадатковыя модулі з падтрымкаю TOTP. Гэта накладае тыя ж абмежаваньні, што й вышэй, аднак магчыма, варта зьвярнуць увагу і на іх, калі вы ўжо карыстаецеся такой праграмай.

• Перайдзіце на Special:OATH у праекце, дзе вы валодаеце адным з вышэйпамянёных правоў (спасылка даступная таксама ў вашых наладах). (Для большасьці ўдзельнікаў гэта будзе ня тут, ня ў Мэта-вікі).
• Special:OATH прадаставіць вам QR-код з назвай двухфактарнага ўліковага запісу і двухфактарны сакрэтны ключ. Гэта неабходна дзеля спарваньня вашага кліента з сэрвэрам.
• Адскануйце QR-код або ўвядзіце назву двухфактарнага ўліковага запісу і ключ у свой кліент TOTP.
• Каб завяршыць рэгістрацыю, увядзіце код аўтэнтыфікацыі са свайго кліента TOTP на экран OATH.

• Увядзіце свой логін і пароль, пасьля ўвайдзіце як звычайна.
• Увядзіце аднаразовы шасьціразрадны код аўтэнтыфікацыі, прадастаўлены вашым кліентам TOTP. Заўвага: гэты код зьмяняецца прыкладна кожныя трыццаць сэкундаў. Калі ваш код усё адно адхіляецца, праверце, ці слушна зададзены час вашай прылады, на якой усталяваная праграма аўтэнтыфікацыі.

Кал вы абярэце пры ўваходзе гэтую можнасьць, пры выкарыстаньні таго самага броўзэру вам болей не давядзецца ўводзіць код аўтэнтыфікацыі. Такія дзеяньні, як выхад з уліковага запісу ці ачыстка маркёраў броўзэру, запатрабуюць увядзеньня коду пры наступным уваходзе.

Некаторыя зьвязаныя зь бясьпекай дзеяньні, напрыклад зьмена адрэсы э-мэйлу ці паролю, могуць запатрабаваць паўторнай аўтэнтыфікацыі кодам, нават калі вы абралі можнасьць «заставацца ў сыстэме».

Двухфактарная аўтэнтыфікацыя не прымяняецца пры выкарыстаньні OAuth ці пароляў робатаў дзеля ўваходу праз API.

Вы можаце выкарыстаць OAuth ці паролі робатаў дзеля абмежаваньня сэсіяў API канкрэтнымі дзеяньнямі, адначасна карыстаючыся двухфактарнай аўтэнтыфікацыяй дзеля абароны свайго поўнага доступу. Зьвярніце ўвагу, што OAuth і паролі робатаў нельга выкарыстоўваць дзеля інтэрактыўнага ўваходу на сайт, толькі да API.

Напрыклад, такія інструмэнты, як AutoWikiBrowser (AWB), пакуль не падтрымліваюць двухфактарную аўтэнтыфікацыю, але могуць выкарыстоўваць паролі робатаў.

• Перайдзіце на Special:OATH ці ў налады. Калі вы не ўваходзіце ў групы, якія маюць дазвол на двухфактарную аўтэнтыфікацыю, вы ўсё ж можаце адключыць яе праз Special:OATH.
• Дзеля завяршэньня працэсу на старонцы адключэньня двухфактарнай аўтэнтыфікацыі выкарыстайце вашую прыладу аўтэнтыфікацыі, каб згенэраваць код.

Пры задзейнічаньні двухфактарнай аўтэнтыфікацыі вам будзе прадастаўлены сьпіс дзесяці аднаразовых кодаў аднаўленьня. Раздрукуйце іх, калі ласка, і захоўвайце ў бясьпечным месцы, бо яны могуць вам спатрэбіцца, калі вы страціце доступ да сваёй прылады 2FA. Неабходна адзначыць, што кожны з гэтых кодаў аднаразовы; яго можна выкарыстаць толькі аднойчы. Пасьля ягонага выкарыстаньня можаце закрэсьліць яго асадкай ці іншым чынам, каб ведаць, што ён скарыстаны. Каб згенэраваць новы набор кодаў, неабходна адключыць і паўторна ўключыць двухфактарную аўтэнтыфікацыю.

Для гэтага можа спатрэбіцца два коды аднаўленьня: адзін на ўваход, другі на адключэньне. Калі вам калі-кольвек спатрэбіцца скарыстацца кодамі аднаўленьня, рэкамэндавана як мага хутчэй адключыць і паўторна ўключыць двухфактарную аўтэнтыфікацыю дзеля генэрацыі новых кодаў.

Калі вашая прылада аўтэнтыфікацыі 2FA проста перастала генэраваць слушныя коды, праверце, ці працуе ейны гадзіньнік. Вядомыя прыклады ў нашых вікі, калі OTP адрозьніваліся на дзьве хвіліны.

Каб адключыць двухфактарную аўтарызацыю, вам спатрэбіцца доступ да кодаў аднаўленьня, выдадзеных пры ейнай актываціі. Дзеля выкананьня вам можа спатрэбіцца выкарыстаць да двух кодаў аднаўленьня:

• Вы павінны быць аўтарызаваныя. Калі вы яшчэ не ўвайшлі ў сыстэму, для гэтага спатрэбіцца адзін код аднаўленьня.
• Дзеля адключэньня двухфактарнай аўтэнтыфікацыі зайдзіце на Special:OATH і выкарыстайце іншы код аднаўленьня.

Калі ня маеце дастатковай колькасьці кодаў аднаўленьня, можаце зьвязацца з Trust and Safety праз ca(_AT_)wikimedia.org, каб запытаць выключэньня двухфактарнай аўтэнтыфікацыі з вашага ўліковага запісу (просьба адсылаць электронны ліст з адрасу, на якім зарэгістраваны ваш уліковы запіс вікі). Альбо можаце стварыць задачу на Фабрыкатары, калі маеце туды доступ. Зьвярніце ўвагу, што пэрсанал не заўсёды ўхваляе запыты на зьняцьце двухфактарнай аўтэнтыфікацыі.

Інструкцыю па запытах на выключэньне двухфактарнай аўтэнтыфікацыі для ўліковага запісу распрацоўніка глядзіце на wikitech:Password and 2FA reset#For users.

Зьвярніце ўвагу, што большасьць рэкамэндацый на гэтай старонцы датычыць мэтаду TOTP. Мэтад WebAuthn — болей экспэрымэнтальны і на цяперашні час ня мае магчымасьці аднаўленьня доступу (пар. зьвязаную задачу на распрацоўку). WebAuthn has a known issue that you must make future logons on the same project that you initiate it from (tracking task).

• тлумачэньне двухфактарнай аўтэнтыфікацыі ў ангельскай Вікіпэдыі і элемэнт ВікіЗьвестак пра яе
• Вядомыя памылкі і патрэбныя паляпшэньні двухфактарнай аўтэнтыфікацыі Вікімэдыі дапрацоўваюцца і адсочваюцца на Фабрыкатары.
• OATHAuth — пашырэньне MediaWiki, якое выкарыстоўваецца для гэтай функцыянальнасьці
• Каманда бясьпекі Вікімэдыі/Двухфактарная аўтэнтыфікацыя для вікі з CentralAuth
• Дапамога:Двухфактарная аўтэнтыфікацыя ў MediaWiki.org

• User groups/be-tarask
• Security
• Handbook Wikimedia-specific