Hilfe:Zwei-Faktor-Authentifizierung
←Hilfeseiten | Hilfe zur Zwei-Faktor-Authentifizierung |
Diese Seite erläutert die Zwei-Faktor-Authenzifierung in Wikimedia Foundation Wikis. Für die Dokumentation der Erweiterung, die diese Funktion hinzufügt, siehe mw:Special:MyLanguage/Extension:OATHAuth. |
Die Implementation der Zwei-Faktor-Authentifizierung (2FA) ist ein Verfahren, um die Sicherheit deines Accounts zu erhöhen. Wenn du Zwei-Faktor-Authentifizierung aktivierst, wirst du bei jeder Verwendung des Passwortes zusätzlich nach einem zeitlich limitierten, sechsstelligen Authentifizierungscode (TOTP) gefragt. Dieser Code wird von einer App auf deinem Smartphone oder einem anderen Authentifizierungsgerät bereitgestellt. Um dich anzumelden, musst du sowohl dein Passwort wissen als auch das Authentifizierungsgerät bei dir haben, um den Code zu generieren.
Betroffene Benutzerkonten
Die Zwei-Faktor-Authentifizierung bei Wikimedia ist zurzeit experimentell und freiwillig. Die Anmeldung (enrollment) benötigt die Berechtigung (oathauth-enable)
und ist zurzeit im Feldtest bei Administratoren (und Benutzern mit admin-ähnlichen Rechten wie z.B. Verbindungs- oder Schnittstellenbearbeiter), Bürokraten, Checkuser-Berechtigten, Oversightern, Stewards, Verwaltern von Bearbeitungsfiltern und der globalen Gruppe der OATH-Tester.
Alle Wikitech LDAP-Benutzerkonten (auch Developer-Accounts genannt) sind ebenfalls berechtigt. Diese Konten sind nicht Teil des Single Unified Login.
Benutzergruppen mit obligatorischer Verwendung
Zwei-Faktor-Authentifizierung aktivieren
- Erlange
(oathauth-enable)
Zugang (standardmäßig für Administratoren, Bürokraten, Oversighter, Checkuser und andere höhere Benutzergruppen verfügbar) - Falls noch nicht vorhanden installiere einen Time-based One-time Password (TOTP) Client. Für die meisten Benutzer ist das eine Anwendung für ein Smartphone oder ein Tablet. Zu den normalerweise empfohlenen Apps gehören:
- Open-Source: FreeOTP (Android, iOS), andOTP (Android), Authenticator (iOS), Authenticator.cc (Chrome, Firefox & Edge), Passman (NextCloud), KeePassXC (Linux, macOS, Windows)
- Closed-Source: Authy (Android, iOS, macOS, Windows), Google Authenticator (Android iOS)
- andere Clients in der Englischen Wikipedia verglichen
- Du kannst auch einen Desktop-Client wie das OATH Toolkit (Linux, macOS via Homebrew) oder WinAuth (Windows) verwenden. Wenn du dich von dem Computer aus anmeldest, von dem aus du die TOTP-Codes generierst, schützt diese Methode dein Konto nicht, wenn ein Angreifer Zugang zu deinem Computer erhält.
- Passwort-Manager wie 1Password, LastPass und KeePass unterstützen in der Regel auch TOTP bzw. haben entsprechende Plugins. Diese haben die gleichen Einschränkungen wie die oben genannten, aber es kann sich lohnen, einen Blick darauf zu werfen, wenn Sie bereits einen für andere Dinge verwenden.
- * Gehe zu Special:OATH auf einem Projekt, auf dem du eines der oben genannten Rechte hast (dieser Link ist auch in deinen Einstellungen verfügbar). (Für die meisten Nutzer ist das nicht hier auf Meta-Wiki.)
- * Special:OATH zeigt dir einen QR-Code, der den Zwei-Faktor-Benutzernamen und den Zwei-Faktor-Geheimcode enthält. Diese Informationen sind benötigt, dass der Client dir den Code berechnen kann.
- Scanne den QR-Code mit dem TOTP-Client oder gib dein Zwei-Faktor-Benutzernamen und -Geheimcode im TOTP-Client ein.
- Geben Sie den Authentifizierungscode von Ihrem TOTP-Client in den OATH-Bildschirm ein, um die Anmeldung abzuschließen.
WARNUNG: Du wirst auch eine Reihe von 10 einmaligen Rubbelcodes erhalten. Du solltest eine Kopie dieser Seite ausdrucken und sicher aufbewahren. Wenn du deinen TOTP-Client verlierst oder ein Problem mit ihm hast, wirst du aus deinem Konto ausgesperrt, wenn du keinen Zugang zu diesen Codes hast. |
Anmelden
- Gib deinen Benutzernamen und dein Passwort wie gewohnt ein
- Gib einen 6-stelligen Einmalcode, der von deinem TOTP - client angenzeigt wird, ein. Hinweis: Dieser Code ändert sich ungefähr alle 30 Sekunden.
Angemeldet bleiben
Wenn du diese Option beim Einloggen wählst, musst du normalerweise keinen Authentifizierungscode eingeben, wenn du denselben Browser verwendest. Aktionen wie das Abmelden oder Löschen der Browser-Cookies erfordern bei der nächsten Anmeldung die Eingabe eines Codes.
Bei einigen sicherheitsrelevanten Aktionen, wie z. B. der Änderung deiner E-Mail-Adresse oder deines Passworts, musst du dich möglicherweise erneut mit einem Code authentifizieren, auch wenn du die Option "Eingeloggt bleiben" gewählt hast.
API-Zugang
Die Zwei-Faktor-Authentifizierung wird nicht bei OAuth oder Bot-Passwörtern mit API-Zugang verwendet.
Du kannst OAuth- oder Bot-Passwörter verwenden, um API-Sitzungen auf bestimmte Aktionen zu beschränken und gleichzeitig eine Zwei-Faktor-Authentifizierung zu verwenden, um deinen vollen Zugang zu schützen.Bitte beachte, dass OAuth- und Bot-Passwörter nicht verwendet werden können, um sich interaktiv auf der Website anzumelden, sondern nur für die API.
Zum Beispiel unterstützt das Tool AutoWikiBrowser (AWB) die Zwei-Faktor-Authentifizierung nicht, aber man kann Bot-Passwörter verwenden.
Zwei-Faktor-Authentifizierung deaktivieren
Wenn du bereits 2FA aktiviert hast, wird das Entfernen der Berechtigung, die dir erlaubt, 2FA zu registrieren, WIRD NICHT 2FA Deaktivieren. Um sie zu deaktivieren, musst du das folgende Verfahren befolgen. |
- Gehen Sie zu Special:OATH oder vorlieben. Wenn Sie sich nicht mehr in Gruppen befinden, die sich anmelden dürfen, können Sie dies immer noch über Special:OATH deaktivieren.
- Verwenden Sie auf der Seite Zwei-Faktor-Authentifizierung deaktivieren Ihr Authentifizierungsgerät, um einen Code zu generieren, um den Vorgang abzuschließen.
Scratch Codes
Wenn du dich für die Zwei-Faktor-Authentifizierung anmeldest, erhältst du eine Liste mit zehn Einmal-Codes. Bitte drucke diese Codes aus und bewahre sie an einem sicheren Ort auf, denn du wirst sie brauchen, falls du den Zugang zu deinem 2FA-Gerät verlierst. Es ist wichtig zu wissen, dass jeder dieser Codes nur einmalig verwendet werden kann und dann abläuft. Nachdem du einen Code benutzt hast, kannst du ihn mit einem Stift durchkratzen oder auf andere Weise markieren, dass der Code benutzt wurde. Um einen neuen Satz Codes zu generieren, musst du die Zwei-Faktor-Authentifizierung deaktivieren und erneut aktivieren.
Deaktivieren der Zwei-Faktor-Authentifizierung ohne ein Authentifizierungsgerät
Dazu sind möglicherweise zwei Scratch-Codes erforderlich: einer zum Einloggen und ein anderer zum Deaktivieren. Solltest du jemals einen deiner Scratch-Codes verwenden müssen, ist es ratsam, ihn zu deaktivieren und wieder zu aktivieren, um so schnell wie möglich einen neuen Satz Codes zu erzeugen.
Wiederherstellung eines verlorenen oder defekten Authentifizierungsgeräts
Wenn du ein vorhandenes 2FA-Gerät hast, das einfach nicht mehr die richtigen Codes erzeugt, überprüfe, ob seine Uhr einigermaßen genau geht. Es ist bekannt, dass zeitbasierte OTPs in unseren Wikis mit einer Abweichung von 2 Minuten fehlschlagen.
Um die Zwei-Faktor-Authentifizierung zu deaktivieren, brauchst du Zugang zu den Freischaltcodes, die du bei der Anmeldung erhalten hast. Dazu musst du bis zu zwei Freischaltcodes verwenden:
- Sie müssen angemeldet sein. Wenn Sie noch nicht angemeldet sind, müssen Sie einen Rubbelcode verwenden.
- Besuchen Sie Special:OATH und verwenden Sie einen anderen Rubbelcode verwenden, um die Zwei-Faktor-Authentifizierung zu deaktivieren.
Wenn Sie nicht genügend Rubbelcodes haben, können Sie Vertrauen und Sicherheit unter ca wikimedia.org kontaktieren, um die Entfernung von 2FA aus Ihrem Konto zu beantragen (bitte senden Sie eine E-Mail mit Ihrer registrierten E-Mail-Adresse Ihres Wiki-Konto). Sie sollten auch eine Aufgabe auf Phabrikator erstellen, wenn Sie noch Zugriff darauf haben. Bitte beachten Sie, dass die 2FA-Entfernung durch das Personal nicht immer gewährt wird.
Siehe wikitech:Password and 2FA reset#For users für Anweisungen zur Beantragung der 2FA-Entfernung für Ihr Entwicklerkonto.
Web-Authentifizierungsverfahren
Bitte beachten Sie, dass die meisten Anweisungen auf dieser Seite spezifisch für die TOTP-Methode sind. Die Methode WebAuthn ist experimenteller und hat derzeit keine Wiederherstellungsoptionen (vgl. Verwandte Entwickleraufgabe).
WebAuthn has a known issue that you must make future logons on the same project that you initiate it from (tracking task).
Siehe auch
- Englischer Wikipedia artikel und Wikidata element über das Konzept der Multi-Faktor-Authentifizierung
- Bekannte Fehler und gewünschte Verbesserungen der Zwei-Faktor-Authentifizierung von Wikimedia werden in Phabricator nachverfolgt.
- OATHAuth ist die MediaWiki-Erweiterung, die für diese Funktionalität verwendet wird
- Wikimedia-Sicherheitsteam/Zwei-Faktor-Authentifizierung für CentralAuth-Wikis
- Hilfe:Zwei-Faktor-Authentifizierung auf MediaWiki.org