Hjelp:Tofaktorautentisering

Tofaktorautentisering hos Wikimedia er for øyeblikket eksperimentelt og valgfritt (med noen unntak). For å få tilgang må man ha rettigheten $oauth-enable, som for tiden testes ut for administratorer (og brukere med administrator-lignende rettigheter, som grensesnittadministratorer), byråkrater, IP-kontrollører, sensorer, forvaltere, redigeringsfilterredaktører og den globale gruppa OATH-testers.

Alle LDAP-kontoer på Wikitech (kontoer for utviklere) kan også få tofaktorautentisering. Disse kotnoene er ikke en del av det globale kontosystemet.

Brukergrupper som kreves å bruke 2FA

• Brukergrupper som kreves å bruke 2FA

• Du må ha (oathauth-enable)-rettigheten på kontoen din (som standard tilgjengelig for administratorer, byråkrater, sensorer, IP-kontrollører og andre priveligierte brukergrupper)
• Ha eller installer en tidsbasert engangspassordklient (TOTP-klient). For folk flest vil dette være en app på en smarttelefon eller et nettbrett. Noen vanlige alternativer inkluderer:
  • Apper og programmer basert på åpen kildekode: FreeOTP (Android, iOS), andOTP (Android), Authenticator (iOS), Authenticator.cc (Chrome, Firefox & Edge), Passman (NextCloud), KeePassXC (Linux, macOS, Windows)
  • Apper og programmer basert på lukket kildekode: Authy (Android, iOS, macOS, Windows), Google Authenticator (Android iOS)
  • Liste over diverse OTP-programmer og apper på engelsk Wikipedia
  • Du kan også bruke en skrivebordsklient, som for eksempel OATH Toolkit (Linux, macOS via Homebrew) eller WinAuth (Windows). Merk at hvis du bruker dette programmet på PC-en du også vanligvis logger deg inn på Wikipedia med, så beskytter ikke denne fremgangsmåten deg i tilfellet hvor en angriper får tilgang til datamaskinen din.
  • Passordmanagarere som 1Password, Bitwarden, og KeePass pleier også ha støtte for TOTP, enten direkte eller gjennom en plugin. De samme begrensningene gjelder ved bruk av disse som nevnt tidligere, men de kan være verdt å vurdere hvis du allerede bruker et av disse programmene til andre ting.

     

• Gå til Special:OATH på prosjektet du har en av de relevante rettighetene på (denne lenken er også tilgjengelig fra innstillingene). (For de fleste brukere, er dette ikke her på Meta-wiki.)
• Special:OATH viser deg en QR-kode med navnet på tofaktorkontoen din og privatnøkkelen til tofaktorautentiseringen din. Dette trenger du for å parre klienten din med serveren.
• Skan QR-koden med TOTP-klienten din, eller skriv inn navnet på tofaktorkontoen din og den andre nøkkelinformasjonen manuelt.
• Skriv deretter inn autentiseringskoden fra TOTP-klienten din i OATH-menyen for å fullføre aktiveringen.

• Oppgi brukernavn og passord, samme som før.
• Etter dette, oppgi en engangskode fra TOTP-klienten din (disse endrer seg regelmessig).

Hold meg innlogget

Hvis du velger dette da du logger inn, trenger du ikke å oppgi en ny kode så lenge du bruker samme nettleser. Hvis du logger ut eller sletter informasjonskapslene dine, kommer du da til å trenge å oppgi en ny kode når du logger deg inn igjen.

Noen sikkerhetssensitive handlinger, som å endre e-postadressen din eller passordet ditt, kan kreve at du må oppgi en ny kode når du autensiterer deg på nytt, til og med hvis du har valgt å holde deg selv innlogget.

API-tilgang

Tofaktorautentisering er fortsatt ikke i bruk med OAuth eller botpassord for å logge inn i API-et.

Du kan bruke OAuth eller botpassord for å begrense API-sesjonene til spesifikke handlinger, mens tofaktorautentisering beskytter din fullstendige tilgang. Merk at OAuth og botpassord ikke kan brukes for å logge inn til nettsiden, bare til API-et.

For eksempel støtter ikke verktøy som AutoWikiBrowser (AWB) tofaktorautentisering ennå, men du kan bruke botpassord. Du kan slå opp videre informasjon om hvordan du konfigurerer dette.

• Dra til Special:OATH eller innstillingene dine. Hvis du ikke lenger er medlem av en brukergruppe som har rettigheter til å skru 2FA på, kan du fortsatt skru det av via Special:OATH.
• På siden for å skru av tofaktorautentisering, bruk enheten din for å generere en kode for å fullføre prosessen.

Når du skrur på tofaktorautentisering, vil du få en liste med 10 engangskoder. Skriv disse ut på papir (eller for hånd) og legg de et trygt sted, siden du vil trenge de hvis du mister tilgang til enheten du bruker til å generere 2FA-koder. Husk også på at disse er engangskoder; hver enkeltkode kan bare brukes en gang og er ugyldig etter den har blitt brukt. Etter at du har brukt en, kan du sette strek over koden eller ellers avmerke at den har blitt brukt. For å generere et nytt sett engangskoder, må du skriv av tofaktorautentisering, for så å skru det på igjen.

Slå av tofaktorautentisering uten en autentiseringsenhet

Dette kan kreve to engangskoder: én for å logge inn, og en til for å slå av. Om du noen gang trenger å bruke engangskodene anbefales det å slå av og slå på igjen tofaktorautentisering for å få et nytt sett engangskoder.

Hvis du har en 2FA-enhet som ikke lenger genererer gyldige koder, dobbeltsjekk at klokken på den går nogenlunde riktig. Mer enn 2 minutter forskjell fra serverens klokke kan være nok til at kodene som genereres blir ugyldige.

Du kommer til å trenger engangskodene du fikk da du skrudde på tofaktorautentisering for å skru det av. Du kommer til å trenge opptil to engangskoder for å gjøre dette:

• Du må være innlogget. Hvis du ikke allerede er innlogget, kommer du til å trenge en engangskode for å logge inn.
• Gå til Special:OATH og bruk en annen engangskode for å skru av tofaktorautentisering.

Hvis du ikke har nok engangkoder, kan du ta kontakt med Trust and Safety på ca wikimedia.org for å spørre om å få tofaktorautentisering skrudd av på kontoen (send e-posten fra den samme adressen som er registrert på kontoen din). Du kan også åpne en task på Phabricator hvis du fortsatt har tilgang der. Merk at fjerning av tofaktorautentisering ikke alltid kan utføres gjennom disse metodene.

Se wikitech:Password and 2FA reset#For users for hvordan man fjerner tofaktorautentisering fra en utviklerkonto.

Merk at mesteparten av instruksene på denne siden gjelder spesifikt TOTP-metoden WebAuthn-metoden er mer eksperimentell og har for øyeblikket ingen muligheter til å få tilgang på konto hvis man mister tilgang på grunn av tofaktorautentisering (se den relevante ticketen på Phabricator). WebAuthn har et kjent problem med at man må logge inn fra samme prosjekt som en skrudde tofaktorautentisering fra (se ticket på Phabricator).