幫助:雙重認證
←帮助页面 | 有關雙重認證的輔助頁面 |
此頁面解答於維基計劃上有關雙重認證的問題。有關其擴展元件,請查閱mw:Special:MyLanguage/Extension:OATHAuth。 |
為了加強帳號安全,維基計劃將會實行雙重認證。如果開啟了此功能,在每次登入維基及其姊妹計劃時,您將會被要求輸入一組六位數字的動態密碼,此六位數字只能使用一次。此密碼將會由一般認證機器,例如手機提供。簡而言之,在開啟此功能後,在每次登入時,除了要輸入帳號名稱及密碼外,亦需要透過一部認證機器來輸入一組供當次登錄的六位數字。
對帳號的影響
目前在維基媒體網站,雙重認證是一個實驗性及自願參與(有例外)的功能。加入測試需要擁有(oathauth-enable)
權限,目前於產品端供管理員(包括界面編輯員等有類似管理權限的使用者)、行政員、用戶查核員、監督員、監管員、過濾器編輯員以及OATH測試員開放測試。
所有 Wikitech LDAP 帐户(也称为开发者帐户)也符合条件。这些帐户不属于 全域账户。
強制使用的用戶組
開啟雙重認證功能
- 擁有
(oathauth-enable)
權限(管理员、行政员、监督员、用户查核员等用户组默认拥有) - 已有或已安裝基於時間的一次性密碼算法(TOTP)用戶端。對大多數使用者來說,這將需要手機或平板電腦應用程式。常見推薦的應用程式包括:
- 開源:FreeOTP(Android、iOS)、andOTP(Android)、Authenticator(iOS)、Authenticator.cc (Chrome, Firefox & Edge)、Passman (NextCloud)、KeePassXC (Linux, macOS, Windows)
- 閉源:Authy(Android、iOS、MacOS、Windows、),Google身份驗證器(Android iOS)
- 英語維基百科上其他用戶端的比較
- 您亦可使用桌面客户端,如OATH Toolkit (Linux,macOS可由Homebrew兼容)、或WinAuth (Windows)。请谨记,若您通过计算机生成TOTP验证码,当攻击者获得计算机访问权限时,此方法将不再能保护您的帐户。
- 密码管理器诸如LastPass、KeePass等也可能有支持或拥有相应支持TOTP的插件。这些工具与上述工具受到相同的限制,但是如果您已经使用了上述工具中的一个,则这些密码管理器也可能值得考虑。
简介如何在偏好栏启用双重验证功能。
- 在擁有上述權限的站点中進入Special:OATH(這個連結也可透過偏好設定進入)。(然而對大多數的用戶來說,沒辦法透過元維基的頁面啟用此功能。)
- * Special:OATH會在螢幕上呈現一個帶有帳戶名稱跟密钥的QR碼,您於機器上設定時會需要這項資訊來和伺服器配對。
- 掃描QR碼或是手動輸入帳戶名稱與秘密金鑰至您的TOTP機器上。
- 輸入TOTP機器上顯示的六位數驗證碼來完成啟用。
注意:您还将看到一组 10 个一次性代码。您应该打印并安全地保存此页的副本。如果您的 TOTP 客户端遗失或出现问题,您将被锁定在您的帐户之外,除非您有权访问这些代码。 |
登入
- 一如往常,輸入用戶名稱跟密碼來登入
- 輸入TOTP機器上提供的六位數字驗證碼。註:驗證碼每三十秒會更新一次。
記住我的登入狀態
如果你在登入時選擇「記住我的登入狀態」選項,在正常的使用下你將不需要再次進行雙重認證。但是,在登出後或是清除cookie後,你將需要重新作雙重認證才可以登入。
部分涉及帳戶安全的更改,例如變更電郵地址、密碼等動作時,你皆需要輸入驗證碼,無論「記住登入選項」是否已經勾選。
以API登入維基
当通过API使用OAuth或bot密钥进行登陆时,双重验证功能无法被使用。
当仍使用双重验证保护您的完整访问时,您可以使用OAuth或机器人密码限制API会话至指定操作。请注意OAuth和机器人密码不能用于交互式登录网站,仅限API。
譬如,像自动维基浏览器(AWB)这类工具目前为止并未支持双重验证功能,但已经可以使用机器人密码。
停用双重验证功能
如果您已經開啟2FA,那麼移除允許您註冊2FA的權限不會停用2FA,您需要按照以下的流程來停用它。 |
- 進入Special:OATH或偏好設定。如果您已經不是擁有該權限的用戶,您仍可以透過Special:OATH來停用這個功能。
- 在停用雙重驗證頁面上,輸入您認證機器上的驗證碼來完成停用。
備用金鑰
在您完成啟用雙重認證之後,在螢幕上會顯示五組備用金鑰。請務必列印這些代碼,并將其存放在安全的地方,因為如果您失去對您的2FA裝置的存取權的話,您需要使用它們來恢復賬號。重要提醒:這些代碼每個只能使用一次;一旦使用就會即時作廢。在您使用一個后,您可以拿筆來劃記哪個代碼已經被使用。如果要重新產生備用金鑰的話,您需要停用並重新啟用雙重驗證。
在没有受信任设备的情况下停用双重验证功能
這個動作將會需要兩組備用金鑰:一組用來登入,而一組用來停用雙重認證。我們建議您在使用任一備用金鑰之後立即重新產生一套新的代碼。
从遗失或损坏的受信任设备中恢复
如果您现有的2FA设备只是停止生成正确的代码,请检查其时钟的准确度是否合理。在我们的Wiki上,基于时间的OTP代码在当设备时间与标准时间相差2分钟时将无法验证。
在您停用雙重驗證時,會需要提供當初在啟用功能時所顯示的備用金鑰。這將會使用兩組代碼來達成:
- 您必須登入:如果您還沒有登入的話,這將會用掉一組代碼。
- 造訪Special:OATH並使用另一組代碼來停用雙重驗證。
如果您沒有足夠的備用金鑰,您可以在ca wikimedia.org聯絡Trust and Safety來請求從您的帳號移除2FA(請使用您註冊維基帳戶的電子郵件地址寄送)。您如果還能存取Phabricator,那也可以建立一個任務。請注意,工作人員不一定會移除2FA。
有關如何請求移除您開發者帳戶的2FA,請參見wikitech:Password and 2FA reset#For users。
Web Authentication 方法
請注意,本頁面多數指引是針對TOTP方法。WebAuthn方法目前更多地是實驗性,沒有恢復方式(參見phab:T244348)。 WebAuthn有一个已知问题,您必须在启动它的同一项目上进行以后的登录 (追踪任务)。
參見
- 請參考中文維基百科條目及維基數據項目來了解多重驗證
- 在Phabricator追蹤維基媒體雙重驗證功能的已知Bug與請求改進。
- OATHAuth是用於此功能的MediaWiki擴充套件
- 維基媒體安全團隊/用於中心驗證wiki的雙重驗證
- 在MediaWiki.org上的資訊:Help:雙重驗證