Дапамога:Двухфактарная аўтэнтыфікацыя

From Meta, a Wikimedia project coordination wiki
This page is a translated version of the page Help:Two-factor authentication and the translation is 78% complete.
Outdated translations are marked like this.
Shortcut:
H:2FA
Гэтая старонка тлумачыць двухфактарную аўтэнтыфікацыю на віках Фундацыі Вікімэдыі. Дакумэнтацыю па пашырэньні, якое рэалізуе гэты функцыянал, глядзіце ў mw:Special:MyLanguage/Extension:OATHAuth.

Укараненьне ў Вікімэдыі двухфактарнай аўтэнтыфікацыі (2FA) — спосаб узмацніць бясьпеку вашага ўліковага запісу. Калі вы ўключыце двухфактарную аўтэнтыфікацыю, у дадатак да паролю кожны раз пры ўваходзе ва ўліковы запіс вас будуць запытваць аднаразовы шасьціразрадны код аўтэнтыфікацыі. Гэты код прадастаўляецца праграмай на вашым смартфоне ці іншай прыладзе аўтэнтыфікацыі. Каб увайсьці, вы мусіце ведаць пароль і мець прыладу аўтэнтыфікацыі дзеля генэрацыі коду.

Закранутыя ўліковыя запісы

Двухфактарная аўтэнтыфікацыя ў Вікімэдыі пакуль што экспэрымэнтальная і неабавязковая (з пэўнымі выключэньнямі). Актывацыя патрабуе дазволу (oathauth-enable), у цяперашні час тэсьціцца адміністратарамі (і ўдзельнікамі з правамі адміністратараў накшталт рэдактараў інтэрфэйсу), бюракратамі, правяраючымі ўдзельнікамі, рэвізорамі, ст’юардамі, кіраўнікамі фільтраў злоўжываньняў і глябальнай групай тэстэраў OATH.

Дапускаюцца таксама ўсе ўліковыя запісы Wikitech LDAP (вядомыя таксама як уліковыя запісы распрацоўнікаў). Гэтыя ўліковыя запісы — не ўнівэрсальныя.

Абавязковае выкарыстаньне для гэтых групаў карыстальнікаў

Уключэньне двухфактарнай аўтэнтыфікацыі

  • Мець правы (oathauth-enable)
  • Мець ці ўсталяваць кліент часавага аднаразовага альгарытму пароляў (TOTP). Для большасьці ўдзельнікаў гэта будзе праграма для тэлефону ці пляншэту. Звычайна рэкамэндаваныя праграмы такія:
    • З адкрытым крынічнікам: FreeOTP (Android, iOS), andOTP (Android), Authenticator (iOS), Authenticator.cc (Chrome, Firefox і Edge), Passman (NextCloud), KeePassXC (Linux, macOS, Windows)
    • З закрытым крынічнікам: Authy (Android, iOS, macOS, Windows), Google Authenticator (Android iOS)
    • General comparison of many common OTP applications which could be used as TOTP client for 2FA (English Wikipedia)
    • Можаце таксама скарыстацца кліентам для ПК, напрыклад OATH Toolkit (Linux, macOS праз Homebrew) ці WinAuth (Windows). Памятайце, што калі вы ўваходзіце з кампутара, на якім генэруюцца TOTP-коды, такі падыход не абараняе ваш уліковы запіс, калі злодзей авалодае вашым кампутарам.
    • Такія кіраўнікі пароляў, як Bitwarden ці KeePass, таксама могуць падтрымліваць/маюць дадатковыя модулі з падтрымкаю TOTP. Гэта накладае тыя ж абмежаваньні, што й вышэй, аднак магчыма, варта зьвярнуць увагу і на іх, калі вы ўжо карыстаецеся такой праграмай.
      Агляд разьдзелу наладаў па ўключэньні двухфактарнай аўтэнтыфікацыі.
  • Перайдзіце на Special:OATH у праекце, дзе вы валодаеце адным з вышэйпамянёных правоў (спасылка даступная таксама ў вашых наладах). (Для большасьці ўдзельнікаў гэта будзе ня тут, ня ў Мэта-вікі).
  • Special:OATH прадаставіць вам QR-код з назвай двухфактарнага ўліковага запісу і двухфактарны сакрэтны ключ. Гэта неабходна дзеля спарваньня вашага кліента з сэрвэрам.
  • Адскануйце QR-код або ўвядзіце назву двухфактарнага ўліковага запісу і ключ у свой кліент TOTP.
  • Каб завяршыць рэгістрацыю, увядзіце код аўтэнтыфікацыі са свайго кліента TOTP на экран OATH.

Уваход

Экран уваходу
  • Увядзіце свой логін і пароль, пасьля ўвайдзіце як звычайна.
  • Увядзіце аднаразовы шасьціразрадны код аўтэнтыфікацыі, прадастаўлены вашым кліентам TOTP. Заўвага: гэты код зьмяняецца прыкладна кожныя трыццаць сэкундаў.

Заставацца ў сыстэме

Кал вы абярэце пры ўваходзе гэтую можнасьць, пры выкарыстаньні таго самага броўзэру вам болей не давядзецца ўводзіць код аўтэнтыфікацыі. Такія дзеяньні, як выхад з уліковага запісу ці ачыстка кэшу броўзэру, запатрабуюць увядзеньня коду пры наступным уваходзе.

Некаторыя зьвязаныя зь бясьпекай дзеяньні, напрыклад зьмена адрэсы э-мэйлу ці паролю, могуць запатрабаваць паўторнай аўтэнтыфікацыі кодам, нават калі вы абралі можнасьць «заставацца ў сыстэме».

Доступ API

Двухфактарная аўтэнтыфікацыя не прымяняецца пры выкарыстаньні OAuth ці пароляў робатаў дзеля ўваходу праз API.

Вы можаце выкарыстаць OAuth ці паролі робатаў дзеля абмежаваньня сэсіяў API канкрэтнымі дзеяньнямі, адначасна карыстаючыся двухфактарнай аўтэнтыфікацыяй дзеля абароны свайго поўнага доступу. Зьвярніце ўвагу, што OAuth і паролі робатаў нельга выкарыстоўваць дзеля інтэрактыўнага ўваходу на сайт, толькі да API.

Напрыклад, такія інструмэнты, як AutoWikiBrowser (AWB), пакуль не падтрымліваюць двухфактарную аўтэнтыфікацыю, але могуць выкарыстоўваць паролі робатаў.

Адключэньне двухфактарнай аўтэнтыфікацыі

Адключэньне
  • Перайдзіце на Special:OATH ці ў налады. Калі вы не ўваходзіце ў групы, якія маюць дазвол на двухфактарную аўтэнтыфікацыю, вы ўсё ж можаце адключыць яе праз Special:OATH.
  • Дзеля завяршэньня працэсу на старонцы адключэньня двухфактарнай аўтэнтыфікацыі выкарыстайце вашую прыладу аўтэнтыфікацыі, каб згенэраваць код.

Сьціральныя коды

Прыклад сьціральных кодаў OATH

Пры задзейнічаньні двухфактарнай аўтэнтыфікацыі вам будзе прадастаўлены сьпіс дзесяці аднаразовых сьціральных кодаў. Раздрукуйце іх, калі ласка, і захоўвайце ў бясьпечным месцы, бо яны могуць вам спатрэбіцца, калі вы страціце доступ да сваёй прылады 2FA. Неабходна адзначыць, што кожны з гэтых кодаў аднаразовы; яго можна выкарыстаць толькі аднойчы. Пасьля ягонага выкарыстаньня можаце закрэсьліць яго асадкай ці іншым чынам, каб ведаць, што ён скарыстаны. Каб згенэраваць новы набор кодаў, неабходна адключыць і паўторна ўключыць двухфактарную аўтэнтыфікацыю.

Адключэньне двухфактарнай аўтэнтыфікацыі без прылады аўтэнтыфікацыі

Для гэтага можа спатрэбіцца два сьціральныя коды: адзін на ўваход, другі на адключэньне. Калі вам калі-кольвек спатрэбіцца скарыстацца сьціральнымі кодамі, рэкамэндавана як мага хутчэй адключыць і паўторна ўключыць двухфактарную аўтэнтыфікацыю дзеля генэрацыі новых кодаў.

Аднаўленьне ў выпадку страты ці псаваньня прылады аўтэнтыфікацыі

Калі вашая прылада аўтэнтыфікацыі 2FA проста перастала генэраваць слушныя коды, праверце, ці працуе ейны гадзіньнік. Вядомыя прыклады ў нашых вікі, калі OTP адрозьніваліся на дзьве хвіліны.

Каб адключыць двухфактарную аўтарызацыю, вам спатрэбіцца доступ да сьціральных кодаў, выдадзеных пры ейнай актываціі. Дзеля выкананьня вам можа спатрэбіцца выкарыстаць да двух сьціральных кодаў:

  • Вы павінны быць аўтарызаваныя. Калі вы яшчэ не ўвайшлі ў сыстэму, для гэтага спатрэбіцца адзін сьціральны код.
  • Дзеля адключэньня двухфактарнай аўтэнтыфікацыі зайдзіце на Special:OATH і выкарыстайце іншы сьціральны код.

Калі ня маеце дастатковай колькасьці сьціральных кодаў, можаце зьвязацца з Trust and Safety праз ca(_AT_)wikimedia.org, каб запытаць выключэньня двухфактарнай аўтэнтыфікацыі з вашага ўліковага запісу (просьба адсылаць электронны ліст з адрасу, на якім зарэгістраваны ваш уліковы запіс вікі). Альбо можаце стварыць задачу на Фабрыкатары, калі маеце туды доступ. Зьвярніце ўвагу, што пэрсанал не заўсёды ўхваляе запыты на зьняцьце двухфактарнай аўтэнтыфікацыі.

Інструкцыю па запытах на выключэньне двухфактарнай аўтэнтыфікацыі для ўліковага запісу распрацоўніка глядзіце на wikitech:Password and 2FA reset#For users.

Мэтад вэб-аўтэнтыфікацыі

Зьвярніце ўвагу, што большасьць рэкамэндацый на гэтай старонцы датычыць мэтаду TOTP. Мэтад WebAuthn — болей экспэрымэнтальны і на цяперашні час ня мае магчымасьці аднаўленьня доступу (пар. зьвязаную задачу на распрацоўку). WebAuthn has a known issue that you must make future logons on the same project that you initiate it from (tracking task).

Глядзіце таксама