Hilfe:Zwei-Faktor-Authentifizierung

Die Zwei-Faktor-Authentifizierung bei Wikimedia ist zurzeit experimentell und freiwillig. Die Einschreibung (enrollment) benötigt die Berechtigung (oathauth-enable) und ist zurzeit im Feldtest bei Administratoren (und Benutzern mit admin-ähnlichen Rechten wie z.B. Verbindungs- oder Schnittstellenbearbeiter), Bürokraten, Checkuser-Berechtigten, Oversightern, Stewards, Verwaltern von Bearbeitungsfiltern und der globalen Gruppe der OATH-Tester.

Alle Wikitech-LDAP-Benutzerkonten (auch Developer-Accounts genannt) sind ebenfalls berechtigt. Diese Konten sind nicht Teil der vereinheitlichten zentralen Anmeldung (Single Unified Login).

Benutzergruppen mit obligatorischer Verwendung

• Gruppen die eine Zwei-Faktor-Authentifizierung erfordern

• Erlange (oathauth-enable) Zugang (standardmäßig für Administratoren, Bürokraten, Oversighter, Checkuser und andere höhere Benutzergruppen verfügbar)
• Falls noch nicht vorhanden, installiere einen Time-based One-time Password (TOTP)-Client. Für die meisten Benutzer ist das eine Anwendung für ein Smartphone oder ein Tablet. Zu den normalerweise empfohlenen Apps gehören:
  • Quell-offene Software (Open Source): FreeOTP (Android, iOS), andOTP (Android), Authenticator (iOS), Authenticator.cc (Chrome, Firefox & Edge), Passman (NextCloud), KeePassXC (Linux, macOS, Windows)
  • Proprietäre Software (Closed Source): Authy (Android, iOS, macOS, Windows), Google Authenticator (Android iOS)
  • Allgemeiner Vergleich vieler OTP-Anwendungen, Clients für 2FA mit TOTP (englischsprachige Wikipedia)
  • Du kannst auch einen Desktop-Client wie das OATH Toolkit (Linux, macOS via Homebrew) oder WinAuth (Windows) verwenden. Denke daran: Wenn Du dich von demselben Computer aus anmeldest, mit dem Du die TOTP-Einmalpasswörter generierst, schützt diese Methode dein Konto nicht, wenn ein Angreifer Zugang zu deinem Computer erhält.
  • Passwort-Manager wie 1Password, LastPass und KeePass unterstützen in der Regel auch TOTP bzw. haben entsprechende Plugins. Diese haben die gleichen Einschränkungen wie die oben genannten, aber es kann sich lohnen, einen Blick darauf zu werfen, wenn Du bereits einen Passwortmanager für andere Dinge verwendest.

     

• Gehe zu Special:OATH auf einem Projekt, auf dem du eines der oben genannten Rechte hast (dieser Link ist auch in deinen Einstellungen verfügbar). (Für die meisten Nutzer ist das nicht hier auf Meta-Wiki.)
• Special:OATH zeigt dir einen QR-Code, der den Zwei-Faktor-Benutzernamen und den Zwei-Faktor-Geheimcode (secret key) enthält. Diese Informationen sind notwendig um deinen Client mit dem Server zu koppeln (pairing).
• Scanne den QR-Code mit dem TOTP-Client oder gib deinen Zwei-Faktor-Benutzernamen und -Geheimcode im TOTP-Client ein.
• Gib den Authentifizierungscode von deinem TOTP-Client in den OATH-Bildschirm ein, um die Einschreibung abzuschließen.

• Gib deinen Benutzernamen und dein normales Passwort ein, bestätige diese wie gewohnt.
• Gib das 6-stellige Einmalpasswort ein, das von deinem TOTP-Client angezeigt wird. Hinweis: Dieses Einmalpasswort ändert sich ungefähr alle 30 Sekunden.

Angemeldet bleiben

Wenn du diese Option beim Einloggen wählst, musst du normalerweise keine neuen Authentifizierungspasswörter eingeben, solange du denselben Browser verwendest. Aktionen wie das Abmelden oder Löschen der Browser-Cookies erfordern bei der nächsten Anmeldung die Eingabe eines aktuellen Einmalpassworts.

Bei einigen sicherheitsrelevanten Aktionen, wie z. B. der Änderung deiner E-Mail-Adresse oder deines Passworts, musst du dich möglicherweise erneut mit einem Code authentifizieren, auch wenn du die Option "Eingeloggt bleiben" gewählt hast.

API-Zugriff

Die Zwei-Faktor-Authentifizierung wird nicht bei OAuth oder Bot-Passwörtern mit API-Zugriff verwendet.

Du kannst OAuth- oder Bot-Passwörter verwenden, um API-Sitzungen auf bestimmte Aktionen zu beschränken und gleichzeitig eine Zwei-Faktor-Authentifizierung zu verwenden, um deinen vollen Zugang zu schützen. Bitte beachte, dass OAuth- und Bot-Passwörter nicht verwendet werden können, um sich interaktiv auf der Webseite anzumelden, sondern nur für die API.

Zum Beispiel unterstützten Werkzeuge wie AutoWikiBrowser (AWB) die Zwei-Faktor-Authentifizierung noch nicht, können aber Bot-Passwörter verwenden. Weitere Informationen zur Konfiguration findest Du hier.

• Gehe zu Special:OATH oder vorlieben. Wenn Du dich nicht mehr in Gruppen befindest, die sich dazu einschreiben dürfen, kannst Du es immer noch über Special:OATH deaktivieren.
• Verwende auf der Seite Zwei-Faktor-Authentifizierung deaktivieren dein Authentifizierungsgerät, um ein Einmalpasswort zu generieren und den Vorgang abzuschließen.

Wenn du dich für die Zwei-Faktor-Authentifizierung einschreibst (und diese aktivierst), erhältst du eine Liste mit zehn Einmal-Passwörtern bzw. TANs. Bitte drucke diese Einmalpasswörter (TANs) aus und bewahre sie an einem sicheren Ort auf, denn du wirst sie brauchen, falls du den Zugang zu deinem 2FA-Gerät verlierst. Es ist wichtig zu wissen, dass jedes dieser Passwörter nur einmalig verwendet werden kann und dann abgelaufen ist! Nachdem du eine TAN verwendet hast, kannst du sie mit einem Stift durchstreichen oder auf andere Weise markieren, dass diese TAN bereits verwendet wurde. Um einen neuen Satz TANs generieren, musst du die Zwei-Faktor-Authentifizierung deaktivieren und erneut aktivieren.

Deaktivieren der Zwei-Faktor-Authentifizierung ohne ein Authentifizierungsgerät

Dazu sind möglicherweise zwei Rubbelkarten-TANs erforderlich: eine zum Einloggen und eine andere zum Deaktivieren. Solltest du jemals eine deiner TANs verwenden müssen, ist es ratsam die Zwei-Faktor-Authentifizierung kurzzeitig zu deaktivieren und wieder zu aktivieren, um so schnell wie möglich einen neuen vollständigen Satz Rubbelcodes (TANs) zu erzeugen.

Wenn Du ein vorhandenes 2FA-Gerät hast, das einfach nicht mehr die richtigen Codes erzeugt, überprüfe, ob seine Uhr einigermaßen genau geht. Es ist bekannt, dass zeitbasierte OTPs in unseren Wikis mit einer Abweichung von 2 Minuten fehlschlagen.

Um dich aus der Zwei-Faktor-Authentifizierung vollständig auszutragen, brauchst du Zugang zu den Rubbelkarten-TANs, die du bei der Einschreibung bzw. bei der 2FA-Aktivierung erhalten hast. Dazu musst du bis zu zwei TANs verwenden:

• Du musst angemeldet sein. Wenn Du noch nicht angemeldet bist, musst Du eine Rubbelkarten-TAN verwenden.
• Besuche Special:OATH und verwende eine andere TAN, um die Zwei-Faktor-Authentifizierung zu deaktivieren.

Wenn Du nicht genügend Rubbelkarten-TANs hast, kannst Du Vertrauen und Sicherheit unter ca wikimedia.org kontaktieren, um die Entfernung von 2FA aus deinem Konto zu beantragen (sende bitte eine E-Mail mit der für dein Wiki-Konto registrierten E-Mail-Adresse). Du solltest auch eine Aufgabe auf Phabricator erstellen, wenn Du noch Zugriff darauf hast. Bitte beachte, dass die 2FA-Entfernung durch das Personal nicht in jedem Fall gewährt wird.

Siehe wikitech:Password and 2FA reset#For users für Anweisungen zur Beantragung der 2FA-Entfernung für dein Entwicklerkonto.

Bitte beachte, dass die meisten Anweisungen auf dieser Seite spezifisch für die TOTP-Methode sind. Die Methode WebAuthn ist experimenteller und hat derzeit keine Wiederherstellungsoptionen (vgl. Verwandte Entwickleraufgabe). WebAuthn hat ein lange bekanntes Problem, das dazu führt, dass zukünftige Anmeldungen nur in demselben Projekt möglich sind, mit dem es erstmals eingerichtet wurde - nicht z.B. in einem anderen Wiki (Fehlerverfolgung). Hierfür ist derzeit keine Lösung zu erwarten, da dieses Problem bereits Anfang 2020 gemeldet und dann lange diskutiert wurde.