Nápověda:Dvoufázové ověření

This page is a translated version of the page Help:Two-factor authentication and the translation is 87% complete.

Outdated translations are marked like this.

Tato stránka vysvětluje principy dvoufázového ověření na projektech Nadace Wikimedia. Dokumentaci k rozšíření, které tuto funkci přidává, najdete na příslušné stránce.

Dvoufaktorová autentizace (2FA, česky správně dvoufázové ověření) je jednou z možností, jak posílit ochranu Vašeho účtu proti zneužití. Pokud si tuto funkci zapnete, budete při každém přihlášení ke svému účtu kromě hesla zadávat také jednorázový šestičíselný kód, který získáte z aplikace na svém smartphonu nebo jiného zařízení. Pro úspěšné přihlášení je tedy nutné mít kromě znalosti hesla také fyzické ověřovací zařízení.

Dotčené účty

Dvoufázové ověření je na serverech Wikimedia prozatím ve fázi experimentálního, dobrovolného stavu (s určitými výjimkami). Aktivace této funkce vyžaduje přístup (oathauth-enable), který se aktuálně testuje u správců (a dalších uživatelů s podobnými právy, jako jsou třeba editoři uživatelského rozhraní), byrokratů, revizorů, utajovatelů, stevardů, správců editačních filtrů a globální skupiny testerů.

Všichni uživatelé s účty LDAP Wikitech (také známo jako vývojářský účet) tuto možnost mohou také využívat. Tyto účty nejsou součástí Jednotného přihlašování.

Uživatelské skupiny, pro něž je 2FA povinností

Skupiny, u nichž je dvoufázové ověření vyžadováno

Jak povolit dvoufázové ověření

Mít přístup k (oathauth-enable) (normálně je tato možnost přístupná správcům, byrokratům, utajovatelům, revizorům a ostatním privilegovaným uživatelským skupinám).
Vlastnit nebo nainstalovat klienta časově řízeného jednorázového hesla (TOTP, Time-based One-time Password). Pro většinu uživatelů to bude aplikace v chytrém telefonu nebo tabletu. Obecně doporučované aplikace jsou:
- Otevřený software: FreeOTP (Android, iOS), andOTP (Android), Authenticator (iOS), Authenticator.cc (Chrome, Firefox & Edge), Passman (NextCloud), KeePassXC (Linux, macOS, Windows)
- Uzavřený sofware: Authy (Android, iOS, macOS, Windows), Google Authenticator (Android, iOS)
- Obecné srovnání mnoha běžných OTP aplikací, která mohou být použita jako TOTP klient pro 2FA (anglická Wikipedie)
- Také lze použít klienta na PC, jako například OATH Toolkit (Linux, macOS s Homebrew) nebo WinAuth (Windows). Mějte na paměti, že pokud se přihlásíte z počítače, který je použit pro generování kódů, tento přístup nebude chránit váš účet v případě, kdy by se útočník zmocnil přístupu k vašemu počítači.
- Správci hesel jako například 1Password, Bitwarden a KeePass také podporují nebo mají pluginy k podpoře TOTP. K tomu platí stejná omezení jako výše, ale může se vyplatit tuto možnost prozkoumat, pokud již jeden takový správce pro další účely používáte.
  
  Přehled sekce nastavení k zapnutí dvoufázového ověření
Klikněte na Special:OATH v projektu, kde máte jedno z výše uvedených oprávnění (tento odkaz je také přístupný z nastavení). (Pro většinu uživatelů to nebude na Meta-wiki.)
Special:OATH vám předloží QR kód obsahující Název účtu a tajný klíč. Tyto informace jsou nutné ke spárování klienta se serverem.
Naskenujte QR kód svou TOTP aplikací, nebo do ní vepište název účtu a klíč.
Zadejte autentizační kód ze svého TOTP klienta do OATH obrazovky k dokončení spárování.

VAROVÁNÍ: Bude vám také zobrazeno 10 jednorázových záložních kódů. Kopii stránky byste si měl/-a vytisknout a uložit na bezpečné místo. Pokud ztratíte zařízení, na němž máte TOTP klienta nainstalovaného, nebo budete mít se zařízením či aplikací potíže, nebudete mít přístup do svého učtu, pokud nebudete mít přístup k těmto kódům.

Přihlašování

Přihlašovací stránka

Vyplňte své uživatelské jméno a heslo a formulář odešlete, jako obvykle.
Zadejte jednorázový šestimístný kód poskytnutý vaší TOTP aplikací. Poznámka: Tento kód se mění zhruba každých 30 sekund.

Zůstat přihlášen

Pokud zvolíte při přihlašování tuto možnost, nebudete muset normálně zadávat ověřovací kód, pokud budete používat stejný prohlížeč. Akce jako odhlášení nebo smazání cookies v prohlížeči budou při dalším přihlášení vyžadovat opět kód.

Některé akce citlivé na bezpečnost, jako například změna e-mailové adresy nebo hesla, může vyžadovat opětovné ověření kódem, pokud zvolíte možnost zůstat přihlášen.

Přístup API

Dvoufázové ověření není použito, pokud používáte OAuth nebo hesla bota k přihlášení API.

Můžete použít OAuth nebo hesla bota k omezení API sezení na specifické akce, zatímco stále používáte dvoufázové ověření k ochraně plného přístupu. Mějte, prosíme, na paměti, že OAuth ani hesla bota nemohou být použita k interaktivnímu přihlášení na web, pouze do API.

Například nástroje jako AutoWikiBrowser (AWB) ještě nepodporují dvoufázové ověření, ale můžete použít hesla bota. Také můžete zjistit více informací, jak to nastavit.

Vypnutí dvoufázového ověření

Odejmutí práv

Pokud již máte 2FA zapnuté, odebrání práv, která vám umožňují přístup k 2FA vám dvoufázové ověření NEVYPNE. Musíte postupovat podle návodu níže.

Jděte na stránku Special:OATH nebo nastavení. Pokud již nejste členem skupiny, která má oprávnění k přístupu, můžete 2FA stále vypnout na stránce Special:OATH.
Na stránce vypnout dvoufázové ověření použijte své ověřovací zařízení k vygenerování kódu pro dokončení procesu.

Záložní kódy

Příklad záložních kódů OATH

Pokud si zapnete dvoufázové ověření, bude vám poskytnut seznam deseti jednorázových záložních kódů. Prosíme, vytiskněte si tyto kódy a uložte si je na bezpečné místo, neboť je můžete potřebovat v případě ztráty svého ověřovacího zařízení. Je důležité si uvědomit, že každý z těchto kódů lze použít pouze jednou, poté kód pozbývá platnosti. Poté, co jeden kód použijete, můžete si jej škrtnout propiskou nebo jinak poznačit, že tento kód již byl použit. K vygenerování nové sady kódů si musíte vypnout a znovu zapnout dvoufázové ověření.

Vypnutí dvoufázového ověření bez ověřovacího zařízení

Tento postup může vyžadovat dva záložní kódy: jeden k přihlášení, druhý k vypnutí. Pokud byste potřeboval/-a někdy použít některý ze záložních kódů, je doporučeno 2FA vypnout a znovu zapnout k co nejdřívějšímu vygenerování nové sady kódů.

Obnova účtu ze ztraceného nebo poškozeného ověřovacího zařízení

Pokud máte existující 2FA zařízení, které prostě přestalo generovat správné kódy, zkontrolujte, zda je správně synchronizován čas. Časově závislé OTP na našich wiki jsou známé tím, že nefungují s dvouminutovou odchylkou.

Budete potřebovat přístup k záložním kódům, které vám byly poskytnuty při zapínání dvoufázového ověření k vypnutí. To bude vyžadovat užití dvou záložních kódů k docílení následujícího:

Potřebujete být přihlášeni. Pokud již nejste, to bude vyžadovat užití záložního kódu.
Navštivte Special:OATH a použijte další záložní kód k vypnutí dvoufázového ověření.

Pokud nemáte dostatek záložních kódů, budete muset kontaktovat Důvěru a bezpečnost na ca wikimedia.org a požádat je o odstranění 2FA z vašeho účtu (prosíme, odšlete email z adresy, kterou jste použil/-a při registraci z vašeho wiki účtu). Také byste měl/-a vytvořit požadavek na Phabricatoru, pokud na něj stále máte přístup. Mějte na paměti, že odstranění 2FA personálem není vždy zaručené.

Vizte stránku wikitech:Password and 2FA reset#For users (anglicky) pro instrukce k podání žádosti o odstranění 2FA pro váš účet vývojáře.

Metoda ověření na webu

Prosíme, mějte na paměti, že většina postupů na této stránce je zaměřena na metodu TOTP. Metoda pomocí WebAuthn je více experimentální a v současnosti nemá možnosti obnovy přístupu (vizte odpovídající vývojářský požadavek). WebAuthn má známou chybu, kde musíte uskutečnit budoucí přihlášení na stejném projektu, ze kterého metodu zapínáte (požadavek na Phabricatoru).

Vizte též

Koncept vícefázového ověření na české Wikipedii a odpovídající položce Wikidat
Známé chyby a požadavky k vylepšení dvoufázového ověření Wikimedia jsou sledovány a zpracovávány na Pabricatoru
OATHAuth je MediaWiki rozšíření, které je pro tuto funkci použito
Bezpečnostní tým Wikimedia/Dvoufázové ověření pro wiki na CentralAuth
Nápověda:Dvoufázové ověření na MediaWiki.org