Aide:Double authentification

La double authentification sur Wikimedia est actuellement expérimentale et facultative (à quelques exceptions près). L'inscription nécessite d'avoir le droit (oathauth-enable), actuellement en test de production avec les administrateurs (et les utilisateurs avec des droits de type admin comme les éditeurs d'interface), les bureaucrates, les checkusers, les masqueurs de modifications, les stewards, les modificateurs de filtre anti-erreur ou les personnes du groupe global OATH-testeurs.

Groupes d’utilisateurs devant obligatoirement l’utiliser

• Groupes nécessitant l'authentification à deux facteurs

• Avoir le droit (oathauth-enable).
• Avoir ou installer un client utilisant l’algorithme de mot de passe à usage unique basé sur le temps (lien en anglais, abrévié TOTP). Pour la plupart des utilisateurs, il s'agit d'une application de téléphone ou de tablette. Parmi les applis courantes recommandées, on trouve :
  • avec un code source ouvert : FreeOTP (Android, iOS), and OTP (Android), Authenticator (iOS), Authenticator.cc (Chrome, Firefox, Edge), Passman (NextCloud), KeePassXC (Linux, macOS, Windows) ;
  • avec un code source fermé : Authy (Android, iOS, macOS, Windows), Google Authenticator (Android iOS) ;
  • autres clients comparés sur la Wikipédia en anglais ;
  • vous pouvez aussi utiliser un client pour ordinateur tel que OATH Toolkit (Linux, macOS via Homebrew) ou WinAuth (Windows) ; gardez en tête que si vous vous connectez depuis l’ordinateur utilisé pour générer les codes TOTP, cette approche ne protège pas votre compte si un pirate a accès à votre ordinateur ;
  • les gestionnaires de mots de passe tels que 1Password, LastPass et KeePass ont de plus en plus souvent une prise en charge de TOTP (native ou à l’aide d’une extension) ; les mêmes limites énoncées précédemment sont présentes, et peuvent être pires si vous utiliser déjà le gestionnaire pour d’autres choses.
     

    Vue d'ensemble de la page des préférences pour activer la double authentification
• Allez sur la page Special:OATH sur le projet où vous détenez l'un des droits ci-dessus (ce lien est également disponible depuis vos préférences, pour la plupart des utilisateurs, ce ne sera pas ici sur le Metawiki).
• Special:OATH vous présente un code QR contenant le nom du compte et la clé secrète à deux facteurs. Ceci est nécessaire pour relier votre client au serveur.
• Scannez le code QR avec votre client ou entrez le nom de compte et la clé à deux facteurs dans votre client.
• Entrez le code d'authentification de votre client dans la page OATH pour compléter la procédure.

• Fournissez votre nom d'utilisateur et votre mot de passe, puis connectez-vous comme avant.
• Entrez un code d'authentification à six chiffres fourni par votre client. Remarque : ce code change toutes les trente secondes environ.

Garder ma session active

Certaines actions sensibles, comme le changement d'adresse électronique ou de mot de passe, peuvent vous obliger à vous authentifier de nouveau avec un code, même si vous avez choisi l'option « gardez-moi connecté ».

Accès via l'API

La double authentification n'est pas utilisée lorsque vous utilisez OAuth ou des mots de passe de robots pour vous connecter via l'API.

Vous pouvez utiliser des mots de passe d'OAuth ou de bots pour des accès, via l'API, à des actions spécifiques et de périmètre restreint. Ceci tout en continuant à utiliser l'identification à deux facteurs pour protéger votre accès complet. Notez que les mots de passe OAuth et bots ne peuvent pas être utilisés pour se connecter interactivement au site, ils sont restreints aux accès via l'API.

Par exemple, un outil tel AutoWikiBrowser (AWB) ne gère pas encore l'identification à deux facteurs, mais peut être utilisé avec un mot de passe de bot.

• Allez sur la page Special:OATH ou dans vos préférences. Si vous n'êtes plus dans des groupes qui sont autorisés à utiliser la double authentification, vous pouvez toujours la désactiver via la page Special:OATH.
• Sur la page désactiver la double authentification, utilisez votre client pour générer un code afin de compléter le processus.

Lorsque vous vous activez la double authentification, vous recevrez une liste de dix codes uniques. Veuillez imprimer ces codes et les conserver dans un endroit sûr, car vous pourriez avoir besoin de les utiliser au cas où vous perdriez l'accès à votre client 2FA. Il est important de noter que chacun de ces codes est à usage unique ; il ne peut être utilisé qu'une seule fois et expire ensuite. Après en avoir utilisé un, vous pouvez le rayer avec un stylo ou marquer que le code a été utilisé. Pour générer un nouvel ensemble de codes, vous devrez désactiver et réactiver la double authentification.

Désactiver la double authentification sans dispositif d'authentification

Cela peut nécessiter deux codes à rayer : l'un pour se connecter et l'autre pour désactiver le dispositif. Si vous avez besoin d'utiliser l'un de vos codes à rayer, il est conseillé de désactiver et de réactiver la double authentification pour générer un nouvel ensemble de codes dès que possible.

Si vous avez un appareil utilisant la 2FA qui a simplement arrêté de générer les codes corrects, vérifiez que son horloge est suffisamment précise. L’OTP basée sur le temps est supposée échouer sur nos wikis dès 2 minutes de décalage temporel.

Vous aurez besoin d'accéder aux codes à rayer qui vous ont été fournis lors de l'activation de la double authentification afin de la désactiver. Vous devrez utiliser jusqu'à deux codes à rayer :

• Vous devez être connecté. Si vous n'êtes pas déjà connecté, cela nécessitera l'utilisation d'un code à rayer.
• Allez sur la page Special:OATH et utilisez un code à rayer différent pour désactiver la double authentification.

Si vous n’avez pas assez de codes à rayer, vous pouvez contacter l’équipe Confiance et Sécurité à l’adresse ca wikimedia.org pour demander à ce que soit retirée la 2FA de votre compte (envoyez le courriel depuis l’adresse enregistrée dans votre compte wiki). Il faudrait aussi que vous créiez une tâche sur Phabricator si vous y avez encore accès. Sachez que la désactivation de la 2FA par le personnel n’est pas toujours accordée.

Voir wikitech:Password and 2FA reset#For users pour obtenir des instructions sur la demande de suppression de 2FA pour votre compte Développeur.

Soyez conscient que la plupart des instructions de cette page sont spécifiques à la méthode TOTP. La méthode WebAuthn est plus expérimentale et ne dispose actuellement d'aucune option de récupération (cf. la tâche développeur liée). WebAuthn has a known issue that you must make future logons on the same project that you initiate it from (tracking task).