Hulp bij tweetrapsauthenticatie

This page is a translated version of the page Help:Two-factor authentication and the translation is 100% complete.
Hulppagina’s Hulp bij tweetrapsauthenticatie
Verwijzing:
H:2FA

Op deze pagina wordt de tweetrapsauthenticatie op de wiki’s van de Wikimedia Foundation uitgelegd. Zie ook de documentatie van de extensie die deze functionaliteit verzorgt.

De implementatie van tweetrapsauthenticatie (2FA) is een manier om de beveiliging van je account te verbeteren. Indien je twee-factor-authenticatie instelt, vraagt het systeem naast je wachtwoord ook elke keer om een getal van 6 cijfers. Dit getal werkt slechts eenmalig. Het getal verkrijg je via een app op je smartphone of een ander toestel. Om aan te melden moet je je wachtwoord weten en je toestel beschikbaar hebben om de code te genereren.

Huidige gebruik

Tweetrapsauthenticatie op Wikimedia is momenteel (met een paar uitzonderingen) nog in de experimentele fase en optioneel. Het gebruik ervan vereist (oathauth-enable)-toegang. Momenteel wordt het getest bij moderatoren en gebruikers met extra rechten zoals interface-bewerkers, bureaucraten, CheckUsers, oversighters, stewards, misbruikfilterredacteurs en de globale OATH-testers groep.

Ook de Wikitech LDAP accounts (ook bekend als ontwikkelaar accounts) zijn hier mogelijk. Deze maken geen deel uit van de Single Unified Login.

Verplicht gebruik gebruikersgroepen

Tweetrapsauthenticatie aanzetten

  • Zorg dat je (oathauth-enable) toegang hebt (standaard beschikbaar voor moderatoren, bureaucraten, suppressors, CheckUsers en andere geprivilegieerd gebruikersgroepen)
  • Installeer, indien je die nog niet hebt, een TOTP-client. TOTP staat voor Time-based One-time Password Algorithm. Voor de meeste gebruikers is deze client een applicatie op de telefoon of tablet. Vaak aanbevolen apps zijn o.a.:
    • Open-source: FreeOTP (Android, iOS), andOTP (Android), Authenticator (iOS), Authenticator.cc (Chrome, Firefox en Edge), Passman (NextCloud), KeePassXC (Linux, macOS, Windows)
    • Closed-source: Authy (Android, iOS, macOS, Windows), Google Authenticator (Android iOS)
    • Vergelijken van gebruikelijke OTP-applicaties die als TOTP-applicatie voor 2FA gebruikt kunnen worden
    • Je kunt ook een desktop cliënt gebruiken zoals OATH Toolkit (Linux, macOS via Homebrew), of WinAuth (Windows). Bedenk dat als je inlogt op de computer waarop de TOTP codes worden aangemaakt, dat het dan niet je account beschermt als iemand ongewild toegang krijgt tot jouw computer.
    • Password managers zoals 1Password, LastPass en KeePass ondersteunen ook steeds meer TOTP, dat kan met een extensie zijn. Dit heeft dezelfde eerder genoemde beperkingen, maar als je er al een gebruikt, dan kun je kijken of TOTP via die password manager kan gaan.
       
      Overzicht van het voorkeurenscherm om tweetrapsauthenticatie in te schakelen.
  • Ga naar Special:OATH op een wiki waar je bovenstaande rechten bezit (deze link is ook beschikbaar via je voorkeuren). (Voor de meeste gebruikers zal dat niet hier op meta-wiki zijn.)
  • Special:OATH toont je een QR-code die de accountnaam en geheime sleutel bevat. Deze gegevens zijn nodig om je cliënt met de server te verbinden.
  • Scan de QR-code met je TOTP-client of voer de accountnaam en sleutel handmatig in.
  • Voer de authenticatiecode van je TOTP-client in op het OATH-scherm om tweetrapsauthenticatie te activeren.

Inloggen

 
Inlogscherm
  • Voer je gebruikersnaam en wachtwoord in.
  • Voer de zescijferige code in die getoond wordt door je TOTP-client. NB: Deze code verandert om de dertig seconden.

Aangemeld blijven

Als je deze optie kiest tijdens het inloggen, hoef je normaliter niet meer een authenticatiecode in te voeren wanneer je dezelfde browser gebruikt. Wanneer je uitlogt of de browser cookies verwijderd zul je bij het inloggen wel weer een authenticatiecode mee moeten geven.

Sommige veiligheidsgevoelige acties, zoals het veranderen van je e-mailadres of wachtwoord, kunnen er ook voor zorgen dat je je opnieuw moet authenticeren (zelfs als je gebruik maakt van de "aangemeld blijven"-optie).

API-toegang

Tweetrapsauthenticatie wordt niet gebruikt als via de API wordt ingelogd, door gebruik te maken van OAuth of botwachtwoorden.

Met OAuth en botwachtwoorden kunnen de mogelijke API-acties gelimiteerd worden, terwijl volledige toegang van het account beschermd blijft achter tweetrapsauthorisatie. Hou er rekening mee dat OAuth en botwachtwoorden niet gebruikt kunnen worden om te verbinden met de website, enkel met de API.

Hulpmiddelen zoals AutoWikiBrowser (AWB) ondersteunen bijvoorbeeld 2FA nog niet, maar kunnen wel gebruikt worden door gebruik te maken van botwachtwoorden.

2FA uitschakelen

 
Uitschakelen
  • Ga naar Special:OATH of je voorkeuren. Als je niet langer in een gebruikersgroep zit die 2FA geeft, kan je nog steeds 2FA deactiveren via Special:OATH.
  • Gebruik voor de "tweetrapsauthenticatie uitschakelen"-pagina je TOTP-client om een code te genereren en het proces af te ronden.

Krascodes

 
Voorbeeld van OATH-krascodes

Wanneer je 2FA aanzet zal een lijst van tien eenmalig te gebruiken "krascodes" worden getoond. Print deze codes uit en sla ze op in een veilige plek, voor het geval dat je toegang tot je TOTP-client verliest. Het is belangrijk om te onthouden dat deze codes eenmalig te gebruiken zijn; na gebruik zijn ze niet meer bruikbaar. Als je er een gebruikt, kan je deze met een pen doorstrepen of anderzijds markeren dat deze code gebruikt is. Om een nieuwe lijst codes te genereren moet je 2FA uitschakelen om het daarna weer in te schakelen.

2FA uitschakelen zonder een authenticatie-apparaat

Hiervoor zijn mogelijk twee krascodes nodig: een om in te loggen en een om 2FA uit te schakelen. Als je ooit een van de krascodes moet gebruiken wordt het aangeraden om een nieuwe set codes te genereren door 2FA uit en in te schakelen.

Herstellen bij verlies of breken van het authenticatie-apparaat

Als op je toestel niet meer de correcte codes worden aangemaakt, controleer dan of de tijd op je toestel wel redelijk goed is. TOTP kan mislukken als er als er 2 minuten verschil is tussen de werkelijke tijd en de tijd op je toestel.

Om 2FA uit te schakelen zijn krascodes nodig die zijn gegenereerd bij het aanzetten van de extra toegangscontrole. Hiervoor zijn mogelijk twee krascodes nodig:

  • Je moet ingelogd zijn. Als je niet ingelogd bent, is hiervoor een krascode nodig.
  • Ga naar Special:OATH en gebruik een andere krascode om 2FA uit te schakelen.

Als je niet genoeg codes hebt, naam dan contact op met Trust and Safety via ca wikimedia.org om te verzoeken naar verwijdering van 2FA van je account. Verzend deze e-mail met het e-mailadres van je wiki account. Maak ook een taak aan op Phabricator als je daar nog toegang tot hebt. Het is een vraag, dus het verwijderen van 2FA van een account kan geweigerd worden.

Lees deze instructies voor het verwijderen van 2FA bij een Ontwikkelaar account.

Web authenticatie methode

De meeste beschrijvingen op deze pagina zijn specifiek voor de TOTP methode. De WebAuthn methode is wat experimenteler en heeft op dit moment nog geen herstelopties (vergelijk bijbehorende taak). WebAuthn heeft een bekend probleem, je moet in de toekomst logons doen op hetzelfde project waarvan je het hebt opgestart (taak).

Zie ook