Help:二要素認証

This page is a translated version of the page Help:Two-factor authentication and the translation is 85% complete.
Outdated translations are marked like this.
ヘルプ ページ 二要素認証のヘルプ
ショートカット
H:2FA
このページでは、ウィキメディア財団のウィキ群における二要素認証について説明します。この機能を追加する拡張機能の説明文書については、 mw:Special:MyLanguage/Extension:OATHAuthを参照。

ウィキメディア財団では利用者アカウントのセキュリティ強化の方策の一つとして二要素認証 (2FA、別名二段階認証) を実施しています。二要素認証(多要素認証)を有効にすると、ログインのたびにパスワードと6桁の一時的な認証コードの入力を求められます。コードはスマートフォンその他の認証デバイスのアプリで生成されます。ログイン時にはパスワードと、コードを生成する認証デバイスが必要です。

影響を受けるアカウント

Wikimediaでは現状、二段階認証を試験的にオプションとして導入しています(若干の例外あり)。 これを利用できるフラグ (oathauth-enable) は製品試験段階にあり、現時点では、管理者 (ならびに管理者同等の権限を付与されたインターフェイス編集者など)、ビューロクラットチェックユーザーオーバーサイト係、とスチュワード編集フィルター管理者、およびOATH-testers global group(二段階認証試験者)でテスト中です。

Wikitech LDAPアカウントも対象とします。

導入必須の利用者グループ

二段階認証を有効にする

  • * (oathauth-enable)のアクセス権限を取得
  • * 時限付きワンタイム・パスワードのアルゴリズム (TOTP) のクライアントを入手もしくはインストールします。大半の利用者はスマートフォンもしくはタブレット向けアプリケーションを利用することになるでしょう。推奨されるアプリはたとえば:
  • 前述のうち自分が付与された権限があるプロジェクトSpecial:OATHを開きます (利用者の個人設定を開くと同じ手順が始まります)。(多くの利用者には現在閲覧しているmeta-wikiは該当しません。)
  • Special:OATHページからQRコードを入手し、多要素認証アカウント名及び多要素認証シークレットキーにアクセスします。これはご利用のクライアントとサーバを連携するために必要です。
  • QRコードを画像読み込みするか、ご利用のTOTPクライアントに多要素認証アクセス名とキーを入力します。
  • TOTPクライアントから認証コードをOATH画面に入力し、設定を完了します。
  警告:ワンタイムのスクラッチコードを10組、提供されるはずです。それらのコードは書き写して安全な場所に保存してください。TOTPクライアントの喪失もしくは作動に問題がある場合、これらのコードが使えないと、ご自分のアカウントから閉め出されてしまいます。


ログイン

 
ログイン画面
  • 利用者名とパスワードを用意し、以前と同じようにログイン処理をします。
  • TOTPクライアントに対して付与された6桁のワンタイム認証コードを入力。注記:このコードはおよそ30秒間隔で更新されます。

ログイン状態を保持

ログイン時にこのオプションにチェックマークを入れると、同一のブラウザを利用する限り、認証コードの入力は不要になります。ログアウトやブラウザのキャッシュを消去すると、次回のログイン時に認証コードを要求されます。

ログイン時にログイン状態の保持を設定してあっても、電子メールアドレスやパスワードの変更など、セキュリティ上にリスクのある動作をしようとすると、再度、認証手続きを求められることがあります。

APIのアクセス

APIからOAuthあるいはbot passwords (ボットパスワード) を使ってログインするとき、二段階認証は使いません。

特定の動作に関してOAuthかボットパスワードを用いるようにAPIセッションを限定する場合も、全体のアクセスは二段階認証で保護できます。APIへのログインと異なり、ウェブサイトへのログインにはOAuthかボットパスワードかどちらかしか使えず、片方をもう一方の代替手段にすることはできない点にご注意ください。

一例として、オートウィキブラウザー (AWB) などのツールでは二段階認証をサポートしておらず、ボットパスワードを使います。

二段階認証を無効にする

 
無効にする
  2FAをすでに有効にしている場合、2FAの登録を許可する権限を削除しても、2FAは無効にはなりません。無効にするには、次の手順に従います。
  • Special:OATHもしくは個人設定を開きます。以前、参加していたグループから退去した後でも、Special:OATH経由で無効の処理ができます。
  • 認証ディバイスを使って多要素認証を無効にするページを開き、無効にする手続きを完了するコードを生成します。

スクラッチコード

 
OATHに用いるスクラッチコードの見本

多要素認証を有効にするとき、ワンタイム・スクラッチコードを10件支給されます。それらのコードをプリントアウトして安全な場所に保存してください。2FA認証ディバイスを利用できない場合、これらを使う必要があるからです。これらのコードはそれぞれ1回限定だという点にご注意ください。1回使うと2度と使えません。1件使うごとにプリントアウトしたものをペンでスクラッチ (塗りつぶす) するか、使用済みの印を付けるとよいでしょう。新しいコードを1セット生成するには、一旦、他要素認証を無効にして、再度、有効にし直します。

認証ディバスを使わずに多要素認証を無効にする

この処理にはスクラッチコードをログイン手続きに1件、無効化に1件の合計2件使います。もしスクラッチコードを使用する場面があったとしたら、なるべく時間をおかずに一旦 (二段階認証を) 無効にして再度、有効にし直し、新しいコードを一式生成することを推奨します。

認証ディバイスを喪失や破損した時の復旧方法

2FAデバイスが単に正確なコードを生成しなくなった場合、そのデバイスの時計が正確かチェックしてください。ウィキメディアのTOTP2分の誤差があると認証できないことが知られています。

多要素認証を解除するには、設定した時に付与されたスクラッチコードが必要です。解除手続き中に求められるスクラッチコードは最大2件です。

  • 手続きするにはログインします。まだログインしていない状態であれば、1件目のスクラッチコードを使います。
  • Special:OATHを開き、2件目のスクラッチコードを使い多要素認証を解除します。

スクラッチコードが足りない場合は、ca wikimedia.orgの信頼と安全に連絡し、アカウント(ウィキのアカウントに登録済みのEメールアドレスを使用してEメールを送信してください)から、2FAの削除を要求してください。アクセス権がある場合は、Phabricatorにタスクを作成する必要もあります。なおスタッフによる2FAの削除は、必ずしも許可されないことにご注意ください。

開発者アカウントの二段階認証の削除の依頼する手順についてはwikitech:Password and 2FA reset#For usersを参照してください。

Web認証方法

このページのほとんどの指示は、TOTP方式に固有のものであることに注意してください。 Web認証方式はより実験的であり、現在、回復オプションはありません。(phab:T244348を参照すること)。

関連項目