Помощь:Двухфакторная аутентификация
Внедрение в Викимедиа двухфакторной аутентификации (2FA) — это способ повысить безопасность вашей учетной записи. Если вы включите двухфакторную аутентификацию, каждый раз при входе в учетную запись у вас будет запрошен одноразовый шестизначный код аутентификации. Этот код предоставляется приложением на вашем смартфоне или другом устройстве аутентификации. Чтобы войти в учетную запись, вы должны знать свой пароль и иметь устройство аутентификации для генерации кода.
Учётные записи, затронутые этим механизмом
Двухфакторная аутентификация в проектах Викимедиа в настоящее время является экспериментальной и необязательной (с некоторыми исключениями). Для активации нужно разрешение (oathauth-enable)
, в настоящее время тестируется администраторами (а также участниками с правами администратора, такими как редакторы интерфейса), бюрократы, проверяющие участников, ревизоры, стюарды, редактирующими спам-фильтр и тестировщики двухфакторной аутентификации.
Возможность доступна также для учётных записей Wikitech, подключаемых по LDAP.
Обязательное использование для следующих групп
Включение двухфакторной аутентификации
- У вас должны быть права
(oathauth-enable)
- У вас должен быть установлен клиент одноразового алгоритма паролей (Time-based One-time Password Algorithm, TOTP). Для большинства пользователей это будет приложение для телефона или планшета. Обыкновенно рекомендуемые приложения включают:
- С открытым исходным кодом: FreeOTP (Android, iOS), andOTP (Android), Authenticator (iOS), Authenticator.cc (Chrome, Firefox и Edge), Passman (NextCloud), KeePassXC (Linux, macOS, Windows)
- Проприетарные: Authy (Android, iOS), Google Authenticator (Android iOS)
- General comparison of many common OTP applications which could be used as TOTP client for 2FA (English Wikipedia)
- Вы также можете использовать настольный клиент, такой как OATH Toolkit (Linux, macOS с помощью Homebrew), или WinAuth (Windows). Имейте в виду, что если вы входите в систему с компьютера, на котором генерируются коды TOTP, этот подход не защищает вашу учетную запись, если злоумышленник получает доступ к вашему компьютеру.
- Менеджеры паролей, такие как 1Password, Bitwarden и KeePass, также имеют тенденцию поддерживать или иметь плагины для поддержки TOTP. Этот способ имеет те же ограничения, что и у способов выше, но, возможно, стоит его попробовать, если вы уже используете менеджер паролей для других вещей.
- Перейдите на страницу Special:OATH в том проекте, где у вас есть соответствующие права доступа (см. выше) (эта ссылка доступна из ваших персональных настроек). (Для большинства участников это будет не здесь, не в Мета-вики.)
- Special:OATH представит вам QR-код, содержащий «Двухфакторное имя учетной записи» и «Двухфакторный секретный ключ». Это необходимо для соединения вашего клиента с сервером.
- Отсканируйте QR-код, или введите в свой клиент TOTP двухфакторное имя учётной записи и ключ.
- Чтобы завершить регистрацию, введите в окне OATH код аутентификации из своего клиента TOTP.
ВНИМАНИЕ: Вам также будет предоставлена серия из 10-и одноразовых скретч-кодов. Вам следует распечатать копию этой страницы и хранить её в тайне. Если вы утратите свой клиент TOTP или с ним возникнут проблемы, ваша учётная запись будет заблокирована, если у вас не будет доступа к этим кодам. |
Вход
- Укажите имя своей учётной записи и пароль, затем нажмите кнопку входа.
- Введите одноразовый шестизначный код аутентификации, предоставленный вашим клиентом TOTP. Примечание: Этот код меняется примерно каждые 30 секунд.
Оставаться в системе
Если вы выберете при входе на сайт эту опцию, вам в дальнейшем не нужно будет вводить код аутентификации при использовании того же браузера. Такие действия, как выход из учётной записи или очистка кеша браузера, потребуют кода при следующем входе в систему.
Некоторые действия, связанные с безопасностью, такие как изменение адреса электронной почты или пароля, могут потребовать повторной аутентификации с кодом, даже если вы выбрали опцию «Оставаться в системе».
Доступ к API
Двухфакторная аутентификация не используется при использовании OAuth или для паролей ботов для входа с помощью API.
Вы можете использовать OAuth или пароли ботов, чтобы ограничить сеансы API конкретными действиями, в то же время используя двухфакторную аутентификацию для защиты своего полного доступа. Обратите внимание: OAuth и пароли ботов нельзя использовать для интерактивного входа в веб-сайт, только через API.
Для примера, такие инструменты, как AutoWikiBrowser (AWB), пока не поддерживает двухфакторную аутентификацию, но может использовать пароли ботов.
Отключение двухфакторной аутентификации
Если у вас уже включена двухфакторная аутентификация, отзыв разрешения, позволяющего вам использовать этот механизм, НЕ ПРИВЕДЁТ к её отключению. Чтобы отключить её, вам потребуется выполнить описанный ниже процесс. |
- Перейдите на Special:OATH или к своим персональным настройкам. Если вы больше не состоите в группах, которые имеют доступ к двухфакторной аутентификации, вы всё равно можете отключить её на Special:OATH.
- На странице отключения двухфакторной аутентификации для завершения процесса используйте устройство аутентификации для генерации кода.
Скрэтч-коды
При активации двухфакторной аутентификации вам будет предоставлен список из десяти одноразовых скрэтч-кодов. Пожалуйста, распечатайте эти коды и храните их в надежном месте, так как вам, возможно, понадобится их использовать, если вы потеряете доступ к вашему устройству двухфакторной аутентификации. Важно отметить, что каждый из этих кодов является одноразовым; он может использоваться только один раз. После использования одного из них, вы можете пометить его как использованный. Чтобы создать новый набор кодов, вам необходимо отключить и повторно активировать двухфакторную аутентификацию.
Отключение двухфакторной аутентификации без устройства аутентификации
Для этого потребуется два скрэтч-кода: один для входа в учётную запись, а другой — для отключения. Если вам когда-либо понадобится использовать любой из ваших скрэтч-кодов, рекомендуется как можно скорее отключить и снова включить двухфакторную аутентификацию для создания нового набора кодов.
Восстановление с утраченного или сломанного устройства аутентификации
Если у вас есть устройство двухфакторной аутентификации, которое просто перестало генерировать правильные коды, убедитесь, что его часы достаточно точны. Известно, что основанный на времени OTP в наших вики не работает с разницей 2 минуты.
Вам потребуется доступ к скрэтч-кодам, которые вам предоставили при активации двухфакторной аутентификации, чтобы отключить двухфакторную аутентификацию. Для этого вам потребуется использовать до двух скрэтч-кодов:
- Вы должны быть авторизованны. Если вы ещё не вошли в систему, для этого потребуется использовать скрэтч код.
- Посетите Special:OATH и используйте любой скрэтч код для отключения двухфакторной аутентификации.
Если у вас недостаточно скретч-кодов, вы можете обратиться в Доверие и безопасность на сайте ca wikimedia.org, чтобы запросить удаление 2FA из вашей учетной записи (пожалуйста, отправьте электронное письмо, используя зарегистрированный адрес электронной почты вашего вики-аккаунт). Вам также следует создать задачу на Фабрикатор, если у вас все еще есть к ней доступ. Обратите внимание, что удаление 2FA персоналом не всегда разрешается.
См wikitech:Сброс пароля и двухфакторной аутентификации#Для пользователей для получения инструкций по запросу удаления двухфакторной аутентификации для вашего Учетная запись разработчика.
Метод веб-аутентификации
Обратите внимание, что большинство указаний на этой странице относятся к методу TOTP. Метод WebAuthn является более экспериментальным и в настоящее время не имеет вариантов восстановления (см. связанная задача разработчика). WebAuthn has a known issue that you must make future logons on the same project that you initiate it from (tracking task).
См. также
- Статья в английской Википедия и Элемент Викиданных о концепции многофакторной аутентификации
- Известные ошибки и запрошенные улучшения двухфакторной аутентификации Викимедия отслеживаются в Фабрикатор.
- OATHAuth это расширение МедиаВики используемое для этой функции.
- Команда безопасности Викимедиа/Двухфакторная аутентификация для вики CentralAuth
- Справка:Двухфакторная аутентификация на MediaWiki.org