Help:אימות דו־שלבי
לדף ההסבר בויקיפדיה העברית ראו: w:he:עזרה:אימות דו-שלבי
היישום של אימות דו-שלבי (2FA) של ויקימדיה הוא דרך לחזק את האבטחה של חשבונכם. אם תפעיליו אימות רב-שלבי, תתבקשו להזין קוד אימות חד-פעמי בן שש ספרות בכל פעם בנוסף לסיסמה שלכם. קוד זה מסופק על ידי אפליקציה בטלפון חכם או מכשיר אימות אחר שלכם. כדי להתחבר, עליכם לדעת את הסיסמה שלכם ולהיות זמינים עבור מכשיר האימות שלכם להפקת הקוד.
חשבונות מושפעים
אימות דו-שלבי בויקימדיה הוא כרגע ניסיוני ואופציונלי (למעט כמה חריגים). ההרשמה דורשת גישת (oathauth-enable)
, שנמצאת כעת בבדיקות ייצור עם מפעילי מערכת (ומשתמשים עם הרשאות דמויות מפעילי מערכת כגון עורכי ממשק), ביורוקרטים, בודקי משתמשים, מפקחים, דיילים. מנהלי מסננים לעריכות והקבוצה הגלובלית של בודקי OATH.
חובת שימוש לקבוצות המשתמש
הפעלת אימות דו־שלבי
- יש להפעיל גישה ל-
(oathauth-enable)
(כברירת מחדל, זמינה למפעילי מערכת, בירוקרטים, מדכאים, בודקי משתמשים וקבוצות משתמשים מורשות אחרות) - ישנו צורך או צריך להתקין לקוח אלגוריתם סיסמה חד-פעמית מבוססת-זמן (TOTP). עבור רוב המשתמשים, זה יהיה יישום טלפון או טאבלט. אפליקציות מומלצות בדרך כלל כוללות:
- קוד פתוח: Aegis (אנדרואיד), FreeOTP (אנדרואיד, iOS), andOTP (אנדרואיד), Authenticator ,(iOS) Authenticator.cc (כרום, פיירפוקס ו-אדג'), Passman Passman ,(NextCloud) KeePassXC (לינוקס, macOS, ווינדוס)
- מקור סגור: Authy (אנדרואיד, iOS), Google Authenticator (אנדרואיד iOS)
- השוואה כללית של יישומי OTP נפוצים רבים שיכולים לשמש כלקוח TOTP עבור 2FA (ויקיפדיה האנגלית)
- אתם יכולים גם להשתמש בלקוח שולחני כגון OATH Toolkit (לינוקס, macOS באמצעות Homebrew), או WinAuth (ווינדוס). זכרו שאם אתם מתחברים מהמחשב המשמש ליצירת קודי TOTP, גישה זו לא מגינה על חשבונכם אם תוקף מקבל גישה למחשב שלכם.
- מנהלי סיסמאות כגון 1Password, Bitwarden ו-KeePass נוטים גם לתמוך/להיות עם תוספים לתמיכה ב-TOTP. זה נושא את אותן מגבלות כמו האמור לעיל, אבל אולי שווה לבדוק אם אתם כבר משתמשים באחד עבור דברים אחרים.
סקירה כללית של פסקת ההעדפות כדי לאפשר אימות דו־שלבי.
- עברו אל Special:OATH בפרויקט שאתם מחזיקים באחת מהזכויות שלמעלה עליו (קישור זה זמין גם מהעדפות העדפות שלכם). (עבור רוב המשתמשים, זה לא יהיה כאן במטא-ויקי.)
- Special:OATH מציג לכם קוד QR המכיל את שם חשבון דו-שלבי ואת המפתח הסודי דו-שלבי. זה נחוץ כדי לשייך את הלקוח שלכם לשרת.
- סרקו את קוד ה-QR איתו, או הזינו את שם החשבון הדו-שלבי והמפתח ללקוח ה-TOTP שלכם.
- הזינו את קוד האימות מלקוח ה-TOTP שלכם למסך OATH כדי להשלים את ההרשמה.
אזהרה: תוצג לכם גם סדרה של 10 קודי שחזור חד פעמיים. עליכם להדפיס ולאחסן בבטחה עותק של דף זה. אם תאבדו אותו או שתהיה לכם בעיה עם לקוח ה-TOTP שלכם, תינעלו מחוץ לחשבון שלכם אלא אם תהיה לכם גישה לקודים אלה. |
התחברות
- ספקו את שם המשתמש והסיסמה שלכם, ותכנסו כמו קודם.
- הזינו קוד אימות חד-פעמי של שש ספרות כפי שסופק על ידי לקוח ה-TOTP. הערה: קוד זה משתנה בערך כל שלושים שניות. אם הקוד שלכם נדחה כל הזמן, בדקו שהשעה במכשיר שלכם בו מותקנת אפליקציית האישור שלכם נכונה.
השאר אותי מחובר
אם תבחרו באפשרות זו בעת הכניסה, בדרך כלל לא תצטרכו להזין קוד אימות בעת שימוש באותו דפדפן. פעולות כגון יציאה או ניקוי קובצי עוגיות (Cookie) בדפדפן ידרשו קוד בכניסה הבאה שלכם.
חלק מהפעולות הרגישות לאבטחה, כגון שינוי כתובת הדוא"ל או הסיסמה שלכם, עשויות לדרוש ממכם אימות מחדש באמצעות קוד גם אם בחרתם באפשרות השאר אותי מחובר.
גישת API
אימות דו-שלבי אינו מנוצל בעת שימוש OAuth או בסיסמאות בוט כדי להיכנס דרך API.
אתם יכולים להשתמש בסיסמאות OAuth או בוט כדי להגביל הפעלות API לפעולות ספציפיות, תוך שימוש באימות דו-שלבי כדי להגן על הגישה המלאה שלכם. שימו לב, לא ניתן להשתמש בסיסמאות OAuth ובוט לכניסה אינטראקטיבית לאתר, אלא רק ל-API.
לדוגמה, כלים כמו AutoWikiBrowser (AWB) אינם תומכים עדיין באימות דו-שלבי, אך יכולים להשתמש בסיסמאות בוטים. ייתכן שתמצאו מידע נוסף כיצד להגדיר זאת.
השבתת אימות דו-שלבי
אם כבר הפעלתם את 2FA, הסרת ההרשאה המאפשרת לכם להירשם ל-2FA לא תשבית את 2FA. עליכם לבצע את התהליך שלהלן כדי להשבית אותו. |
- עברו אל Special:OATH או העדפות. אם אתם כבר לא בקבוצות המורשות להירשם, אתם עדיין יכולים להשבית באמצעות Special:OATH.
- בדף השבת אימות דו-שלבי, השתמשו במכשיר האימות שלכם כדי ליצור קוד להשלמת התהליך.
קודי שחזור
בעת הרשמה לאימות דו-שלבי, תסופק לכם רשימה של עשרה קודי שחזור חד-פעמיים. אנא הדפיסו את הקודים הללו ואחסנו אותם במקום בטוח, שכן ייתכן שתצטרכו להשתמש בהם למקרה שתאבדו את הגישה למכשיר ה-2FA שלכם. חשוב לציין שכל אחד מהקודים הללו הוא שימוש חד פעמי; ניתן להשתמש בו פעם אחת בלבד ואז יפוג תוקף. לאחר השימוש באחד, אתם יכול לגרד אותו באמצעות עט או לסמן אחרת שהקוד היה בשימוש. כדי ליצור קבוצה חדשה של קודים, תצטרכו להשבית ולהפעיל מחדש אימות דו-גורמי.
השבתת אימות דו-שלבי ללא התקן אימות
זה עשוי לדרוש שני קודי שחזור: אחד לכניסה, ואחר לביטול. אם אי פעם תצטרכו להשתמש באחד מקודי השחזור שלכם, מומלץ להשבית ולהפעיל מחדש כדי ליצור קבוצה חדשה של קודים בהקדם האפשרי.
שחזור ממכשיר אימות שאבד או מקולקל
אם יש לכם מכשיר 2FA קיים שפשוט הפסיק לייצר את הקודים הנכונים, בדקו שהשעון שלו מדויק למדי. ידוע ש-OTP מבוסס-זמן בויקי שלנו נכשל בהפרש של 2 דקות.
תזדקקו לגישה לקודי השחזור שסופקו לכם בעת ההרשמה כדי לבטל את ההרשמה מאימות דו-שלבי. זה ידרוש ממכם להשתמש בעד שני קודי שחזור כדי להשיג זאת:
- אתם צריכים להיות מחוברים. אם אתם עדיין לא מחוברים, זה ידרוש שימוש בקוד שחזור.
- בקרו ב-Special:OATH והשתמשו בקוד שחזור אחר כדי להשבית אימות דו-שלבי.
אם אין לכם מספיק קודי שחזור, תוכלו ליצור קשר עם אמון ובטיחות ב-ca wikimedia.org כדי לבקש הסרה של 2FA מחשבונכם (אנא שלחו אימייל באמצעות כתובת הדוא"ל הרשומה שלכם בחשבון הויקי שלכם). עליכם ליצור מטלה גם ב-Phabricator אם עדיין יש לכם גישה אליה. שימו לב, הסרת 2FA על ידי הצוות לא תמיד מוענקת.
ראו wikitech:Password and 2FA reset#For users לקבלת הוראות לבקשת הסרת 2FA עבור חשבון המפתחים שלכם.
שיטת אימות אינטרנט
נא שימו לב, רוב ההנחיות בדף זה ספציפיות לשיטת TOTP. השיטה WebAuthn היא יותר ניסיונית וכרגע אין לה אפשרויות שחזור (ראו מטלת מפתח קשורה). ל-WebAuthn יש בעיה ידועה שעליכם לבצע כניסות עתידיות באותו פרויקט שממנו אתם יוזמים אותו (מטלת מעקב).
ר' גם
- ה-המושג של אימות רב-שלבי בויקיפדיה האנגלית ופריט ויקינתונים עליו
- באגים ידועים ושיפורים מתבקשים של אימות דו-שלבי של ויקימדיה משתפים פעולה ועוקבים אחריהם ב-Phabricator
- OATHAuth הוא סיומת מדיה-ויקי המשמשת לפונקציונליות זו
- צוות האבטחה של ויקימדיה/אימות דו-שלבי עבור ויקי אינטרנט של CentralAuth
- Help:אימות דו-גורמי ב- MediaWiki.org