Довідка:Двофакторна автентифікація
- Bahasa Indonesia
- Bahasa Melayu
- Deutsch
- English
- Esperanto
- Ghanaian Pidgin
- Hausa
- Igbo
- Kreyòl ayisyen
- Nederlands
- Tiếng Việt
- Türkçe
- asturianu
- azərbaycanca
- dansk
- español
- français
- galego
- interlingua
- italiano
- magyar
- norsk bokmål
- polski
- português
- português do Brasil
- română
- svenska
- čeština
- беларуская (тарашкевіца)
- русский
- українська
- עברית
- العربية
- سنڌي
- فارسی
- کوردی
- नेपाली
- मराठी
- हिन्दी
- বাংলা
- தமிழ்
- മലയാളം
- ไทย
- ქართული
- 中文
- 日本語
- 한국어
Впровадження двофакторної автентифікації (2FA) у Вікімедіа — це спосіб зміцнити безпеку вашого облікового запису. Якщо ви увімкнете двофакторну автентифікацію, то при вході, окрім вашого пароля, у вас щоразу запитуватимуть одноразовий шестицифровий код автентифікації. Цей код надає застосунок у вашому смартфоні або іншому пристрої автентифікації. Щоб увійти в систему, ви мусите знати свій пароль і мати при собі пристрій автентифікації, який згенерує код.
Облікові записи, яких це стосується
Наразі двофакторна автентифікація у Вікімедіа експериментальна і вмикається за бажанням (з деякими винятками). Вона вимагає доступу (oathauth-enable), і зараз її на практиці використовують адміністратори (та користувачі з подібними до них правами, як-то редактори інтерфейсу), бюрократи, чек'юзери, приховувачі, стюарди, менеджери фільтрів редагувань та глобальна група OATH-тестерів.
Групи користувачів, для яких це обов'язково
Увімкнення двофакторної автентифікації
- Треба мати доступ
(oathauth-enable)(за замовчуванням доступний для адміністраторів, бюрократів, приховувачів, чек'юзерів та інших привілейованих груп користувачів) - Треба мати або встановити TOTP-клієнт (Time-based One-time Password Algorithm). Для більшості користувачів, це буде застосунок на телефоні чи планшеті. До рекомендованих застосунків належать:
- З відкритим вихідним кодом: Aegis (Android), FreeOTP (Android, iOS), [$andotp andOTP] (Android), Authenticator (iOS), Authenticator.cc (Chrome, Firefox & Edge), Passman (NextCloud), KeePassXC (Linux, macOS, Windows)
- З закритим кодом: [1ドル Authy] (Android, iOS), Google Authenticator (Android iOS)
- Загальне порівняння багатьох поширених OTP-програм, які можна використати як TOTP-клієнт для 2FA (англійська Вікіпедія)
- Ви також можете скористатися настільним клієнтом, таким як OATH Toolkit (Linux, macOS через Homebrew), або WinAuth (Windows). Пам'ятайте, що якщо ви входите з комп'ютера, який використовується для генерування кодів TOTP, цей підхід не захистить ваш обліковий запис, якщо нападник отримає доступ до вашого комп'ютера.
- Менеджер паролів, такі як 1Password, Bitwarden та KeePass, також підтримують / мають плагіни для підтримки TOTP. Цей варіант має такі ж обмеження, як і вище, але його варто розглянути, якщо ви вже використовуєте його для інших речей.
Скріншот місця в налаштуваннях користувача, звідки вмикається двофакторна автентифікація
- Перейдіть на сторінку Special:OATH у тому проєкті, де ви маєте одні з вищевказаних прав (це посилання також є у ваших налаштуваннях). (Для більшості користувачів це не буде тут, на Мета-вікі).
- На Special:OATH ви побачите QR-код з двофакторним іменем облікового запису і двофакторним секретним ключем. Це потрібно, щоб утворити пару між вашим клієнтом і сервером.
- Проскануйте QR-код своїм TOTP-клієнтом або введіть у ньому двофакторні ім'я облікового запису і ключ.
- Введіть код автентифікації зі свого TOTP-клієнта у вікні OATH, щоб завершити запис.
Вхід в систему
- Уведіть свої ім'я користувача і пароль і надішліть їх, як завжди.
- Уведіть одноразовий шестизначний код автентифікації, виданий TOTP-клієнтом. Зверніть увагу: ці коди змінюються приблизно що тридцять секунд. Якщо ваш код раз за разом відкидається, перевірте, чи на вашому пристрої, де стоїть програма автентифікації, вказано правильний час.
Залишатися в системі
Якщо ви оберете цю опцію перед входом в систему, то зазвичай не матимете потреби вводити код автентифікації при використанні цього самого браузера. Такі дії, як вихід з системи чи очищення браузерних кук, призведуть до необхідності ввести код при наступному вході в систему.
Деякі чутливі в плані безпеки дії, як-то зміна електронної пошти чи пароля, можуть вимагати повторної автентифікації з кодом, навіть якщо ви обрали залишатися в системі.
API-доступ
Двофакторна автентифікація не використовується при використанні OAuth чи паролів ботів для входу через API.
Ви можете використати OAuth чи паролі ботів, щоб обмежити API-сесії до окремих дій, в такий спосіб продовживши захищати двофакторною автентифікацією свій повний доступ. Зверніть увагу, що OAuth і паролі ботів не можна використати для інтерактивного входу на сайт, а лише для API.
Наприклад, такі інструменти, як Автовікібраузер (AWB) ще не підтримують двофакторну автентифікацію, або можуть використовувати паролі ботів. Ви можете дізнатися більше про те, як це налаштувати.
Вимкнення двофакторної автентифікації
- Go to Special:OATH or preferences. If you are no longer in groups that are permitted to enroll, you can still disable via Special:OATH.
- On the disable two-factor authentication page, use your authentication device to generate a code to complete the process.
Recovery codes
When enrolling in two-factor authentication, you will be provided with a list of ten one-time recovery codes. Please print those codes and store them in a safe place, as you may need to use them in case you lose access to your 2FA device. It is important to note that each of these codes is single use; it may only ever be used once and then expires. After using one, you can scratch it through with a pen or otherwise mark that the code has been used. To generate a new set of codes, you will need to disable and re-enable two-factor authentication.
Disabling two-factor authentication without an authentication device
This may require two recovery codes: one to log in, and another to disable. Should you ever need to use any of your recovery codes, it is advisable to disable and re-enable to generate a fresh set of codes as soon as possible.
Recovering from a lost or broken authentication device
If you have an existing 2FA device which has simply stopped generating the correct codes, check that its clock is reasonably accurate. Time-based OTP on our wikis has been known to fail with 2 minutes difference.
You will need access to the recovery codes that you were provided when enrolling in order to un-enroll from two-factor authentication. It will require you to use up to two recovery codes to accomplish this:
- You need to be logged in. If you are not already logged in, this will require use of a recovery code.
- Visit Special:OATH and use a different recovery code to disable two-factor authentication.
If you don't have enough recovery codes, you may contact Trust and Safety at ca(_AT_)wikimedia.org to request removal of 2FA from your account (please send an email using your registered email address of your wiki account). You should also create a task on Phabricator if you still have access to it. Please note, 2FA removal by staff is not always granted.
See wikitech:Password and 2FA reset#For users for instructions on requesting 2FA removal for your Developer account.
Web Authentication Method
Please note, most of the directions on this page are specific to the TOTP method. The WebAuthn method is more experimental and currently has no recovery options (cf. related developer task).
WebAuthn has a known issue that you must make future logons on the same project that you initiate it from (tracking task).
See also
- The concept of multi-factor authentication in the English Wikipedia and a Wikidata item about it
- Known bugs and requested improvements of Wikimedia's two-factor authentication are collaborated on and tracked in Phabricator
- OATHAuth is the MediaWiki extension used for this functionality
- Wikimedia Security Team/Two-factor Authentication for CentralAuth wikis
- Help:Two-factor authentication in the MediaWiki.org