Hilfe:Zwei-Faktor-Authentifizierung

From Meta, a Wikimedia project coordination wiki
Jump to navigation Jump to search
This page is a translated version of the page Help:Two-factor authentication and the translation is 72% complete.
Outdated translations are marked like this.
Hilfeseiten Hilfe zur Zwei-Faktor-Authentifizierung
Abkürzung:
H:2FA

Diese Seite erläutert die Zwei-Faktor-Authenzifierung in Wikimedia Foundation Wikis. Für die Dokumentation der Erweiterung, die diese Funktion hinzufügt, siehe mw:Special:MyLanguage/Extension:OATHAuth.

Die Implementation der Zwei-Faktor-Authentifizierung (2FA) ist ein Verfahren, um die Sicherheit deines Accounts zu erhöhen. Wenn du Zwei-Faktor-Authentifizierung aktivierst, wirst du bei jeder Verwendung des Passwortes zusätzlich nach einem zeitlich limitierten, sechsstelligen Authentifizierungscode (TOTP) gefragt. Dieser Code wird von einer App auf deinem Smartphone oder einem anderen Authentifizierungsgerät bereitgestellt. Um dich anzumelden, musst du sowohl dein Passwort wissen als auch das Authentifizierungsgerät bei dir haben, um den Code zu generieren.

Betroffene Benutzerkonten

Die Zwei-Faktor-Authentifizierung bei Wikimedia ist zurzeit experimentell und freiwillig. Die Anmeldung (enrollment) benötigt die Berechtigung (oathauth-enable) und ist zurzeit im Feldtest bei Administratoren (und Benutzern mit admin-ähnlichen Rechten wie z.B. Verbindungs- oder Schnittstellenbearbeiter), Bürokraten, Checkuser-Berechtigten, Oversightern, Stewards, Verwaltern von Bearbeitungsfiltern und der globalen Gruppe der OATH-Tester.

LDAP-Benutzerkonten von Wikitech sind ebenfalls berechtigt.

Mandatory use user groups

Zwei-Faktor-Authentifizierung aktivieren

  • * Erlange (oathauth-enable)
  • * Falls noch nicht vorhanden installiere einen Time-based One-time Password (TOTP) Client. Für die meisten Benutzer ist das eine Anwendung für ein Smartphone oder ein Tablet. Zu den normalerweise empfohlenen Apps gehören:
    • ** Open-Source: FreeOTP (Android, iOS), andOTP (Android), Authenticator (iOS), Authenticator.cc (Chrome, Firefox & Edge), Passman (NextCloud)
    • Closed-Source: Authy (Android, iOS, macOS, Windows), Google Authenticator (Android iOS)
    • other clients compared at English Wikipedia
    • Du kannst auch einen Desktop-Client wie das OATH Toolkit (Linux, macOS via Homebrew) oder WinAuth (Windows) verwenden. Wenn du dich von dem Computer aus anmeldest, von dem aus du die TOTP-Codes generierst, schützt diese Methode dein Konto nicht, wenn ein Angreifer Zugang zu deinem Computer erhält.
    • Passwort-Manager wie 1Password, LastPass und KeePass unterstützen in der Regel auch TOTP bzw. haben entsprechende Plugins. Diese haben die gleichen Einschränkungen wie die oben genannten, aber es kann sich lohnen, einen Blick darauf zu werfen, wenn Sie bereits einen für andere Dinge verwenden.
      Übersicht über den Abschnitt Einstellungen zur Aktivierung der Zwei-Faktor-Authentifizierung.
  • * Gehe zu Special:OATH auf einem Projekt, auf dem du eines der oben genannten Rechte hast (dieser Link ist auch in deinen Einstellungen verfügbar). (Für die meisten Nutzer ist das nicht hier auf Meta-Wiki.)
  • * Special:OATH zeigt dir einen QR-Code, der den Zwei-Faktor-Benutzernamen und den Zwei-Faktor-Geheimcode enthält. Diese Informationen sind benötigt, dass der Client dir den Code berechnen kann.
  • * Scanne den QR-Code mit dem Client oder gib dein Zwei-Faktor-Benutzernamen und Zwei-Faktor-Gehiemcode in ihn ein.
  • Geben Sie den Authentifizierungscode von Ihrem TOTP-Client in den OATH-Bildschirm ein, um die Anmeldung abzuschließen.
Warning WARNUNG: Du wirst auch eine Reihe von 10 einmaligen Rubbelcodes erhalten. Du solltest eine Kopie dieser Seite ausdrucken und sicher aufbewahren. Wenn du deinen TOTP-Client verlierst oder ein Problem mit ihm hast, wirst du aus deinem Konto ausgesperrt, wenn du keinen Zugang zu diesen Codes hast.


Anmelden

Anmeldeseite
  • Gib deinen Benutzernamen und dein Passwort wie gewohnt ein
  • Gib einen 6-stelligen Einmalcode, der von deinem TOTP - client angenzeigt wird, ein. Hinweis: Dieser Code ändert sich ungefähr alle 30 Sekunden.

Angemeldet bleiben

Wenn du diese Option beim Einloggen wählst, musst du normalerweise keinen Authentifizierungscode eingeben, wenn du denselben Browser verwendest. Aktionen wie das Abmelden oder Löschen des Browser-Caches erfordern bei der nächsten Anmeldung die Eingabe eines Codes.

Bei einigen sicherheitsrelevanten Aktionen, wie z. B. der Änderung deiner E-Mail-Adresse oder deines Passworts, musst du dich möglicherweise erneut mit einem Code authentifizieren, auch wenn du die Option "Eingeloggt bleiben" gewählt hast.

API-Zugang

Die Zwei-Faktor-Authentifizierung wird nicht bei OAuth oder Bot-Passwörtern mit API-Zugang verwendet.

Du kannst OAuth- oder Bot-Passwörter verwenden, um API-Sitzungen auf bestimmte Aktionen zu beschränken und gleichzeitig eine Zwei-Faktor-Authentifizierung zu verwenden, um deinen vollen Zugang zu schützen.Bitte beachte, dass OAuth- und Bot-Passwörter nicht verwendet werden können, um sich interaktiv auf der Website anzumelden, sondern nur für die API.

Zum Beispiel unterstützt das Tool AutoWikiBrowser (AWB) die Zwei-Faktor-Authentifizierung nicht, aber man kann Bot-Passwörter verwenden.

Zwei-Faktor-Authentifizierung deaktivieren

Abmeldung
Warning Wenn du bereits 2FA aktiviert hast, wird das Entfernen der Berechtigung, die dir erlaubt, 2FA zu registrieren, WIRD NICHT 2FA Deaktivieren.

Um sie zu deaktivieren, musst du das folgende Verfahren befolgen.

  • Go to Special:OATH or preferences. If you are no longer in groups that are permitted to enroll, you can still disable via Special:OATH.
  • On the disable two-factor authentication page, use your authentication device to generate a code to complete the process.

Scratch Codes

OATH-Beispiel-Scratch-Codes

Wenn du dich für die Zwei-Faktor-Authentifizierung anmeldest, erhältst du eine Liste mit zehn Einmal-Codes. Bitte drucke diese Codes aus und bewahre sie an einem sicheren Ort auf, denn du wirst sie brauchen, falls du den Zugang zu deinem 2FA-Gerät verlierst. Es ist wichtig zu wissen, dass jeder dieser Codes nur einmalig verwendet werden kann und dann abläuft. Nachdem du einen Code benutzt hast, kannst du ihn mit einem Stift durchkratzen oder auf andere Weise markieren, dass der Code benutzt wurde. Um einen neuen Satz Codes zu generieren, musst du die Zwei-Faktor-Authentifizierung deaktivieren und erneut aktivieren.

Deaktivieren der Zwei-Faktor-Authentifizierung ohne ein Authentifizierungsgerät

Dazu sind möglicherweise zwei Scratch-Codes erforderlich: einer zum Einloggen und ein anderer zum Deaktivieren. Solltest du jemals einen deiner Scratch-Codes verwenden müssen, ist es ratsam, ihn zu deaktivieren und wieder zu aktivieren, um so schnell wie möglich einen neuen Satz Codes zu erzeugen.

Wiederherstellung eines verlorenen oder defekten Authentifizierungsgeräts

Wenn du ein vorhandenes 2FA-Gerät hast, das einfach nicht mehr die richtigen Codes erzeugt, überprüfe, ob seine Uhr einigermaßen genau geht. Es ist bekannt, dass zeitbasierte OTPs in unseren Wikis mit einer Abweichung von 2 Minuten fehlschlagen.

Um die Zwei-Faktor-Authentifizierung zu deaktivieren, brauchst du Zugang zu den Freischaltcodes, die du bei der Anmeldung erhalten hast. Dazu musst du bis zu zwei Freischaltcodes verwenden:

  • You need to be logged in. If you are not already logged in, this will require use of a scratch code.
  • Visit Special:OATH and use a different scratch code to disable two-factor authentication.

If you don't have enough scratch codes, you may contact Trust and Safety at ca(_AT_)wikimedia.org to request removal of 2FA from your account (please send an email using your registered email address of your wiki account). You should also create a task on Phabricator if you still have access to it. Please note, 2FA removal by staff is not always granted.

See wikitech:Password and 2FA reset#For users for instructions on requesting 2FA removal for your Developer account.

Web-Authentifizierungsverfahren

Please note, most of the directions on this page are specific to the TOTP method. The WebAuthn method is more experimental and currently has no recovery options (c.f. related developer task).

Siehe auch