Hilfe:Zwei-Faktor-Authentifizierung

From Meta, a Wikimedia project coordination wiki
This page is a translated version of the page Help:Two-factor authentication and the translation is 100% complete.
Kürzel:
H:2FA
Diese Seite erläutert die Zwei-Faktor-Authentifizierung in Wikis der Wikimedia-Stiftung. Die Dokumentation der Erweiterung für diese Funktion kannst Du hier nachlesen.

Wikimedias Implementierung der Zwei-Faktor-Authentifizierung (2FA) dient dazu, die Sicherheit deines Benutzerkontos zu erhöhen. Wenn du die Zwei-Faktor-Authentifizierung aktivierst, wirst du bei jeder Verwendung des Passwortes zusätzlich nach einem zeitlich limitiert gültigen sechsstelligen Einmalpasswort (TOTP) gefragt. Dieses Einmalpasswort kann beispielsweise von einer App auf deinem Smartphone oder von einem anderen Authentifizierungsgerät bereitgestellt werden. Um dich anzumelden, musst du sowohl dein eigentliches Passwort wissen als auch das Authentifizierungsgerät bei dir haben, um das zusätzliche Einmalpasswort zu generieren.

Betroffene Benutzerkonten

Die Zwei-Faktor-Authentifizierung bei Wikimedia ist zurzeit experimentell und freiwillig. Die Einschreibung (enrollment) benötigt die Berechtigung (oathauth-enable) und ist zurzeit im Feldtest bei Administratoren (und Benutzern mit admin-ähnlichen Rechten wie z.B. Verbindungs- oder Schnittstellenbearbeiter), Bürokraten, Checkuser-Berechtigten, Oversightern, Stewards, Verwaltern von Bearbeitungsfiltern und der globalen Gruppe der OATH-Tester.

Alle Wikitech-LDAP-Benutzerkonten (auch Developer-Accounts genannt) sind ebenfalls berechtigt. Diese Konten sind nicht Teil der vereinheitlichten zentralen Anmeldung (Single Unified Login).

Benutzergruppen mit obligatorischer Verwendung

Zwei-Faktor-Authentifizierung aktivieren

  • Erlange (oathauth-enable) Zugang (standardmäßig für Administratoren, Bürokraten, Oversighter, Checkuser und andere höhere Benutzergruppen verfügbar)
  • Falls noch nicht vorhanden, installiere einen Time-based One-time Password (TOTP)-Client. Für die meisten Benutzer ist das eine Anwendung für ein Smartphone oder ein Tablet. Zu den normalerweise empfohlenen Apps gehören:
    • Quell-offene Software (Open Source): FreeOTP (Android, iOS), andOTP (Android), Authenticator (iOS), Authenticator.cc (Chrome, Firefox & Edge), Passman (NextCloud), KeePassXC (Linux, macOS, Windows)
    • Proprietäre Software (Closed Source): Authy (Android, iOS, macOS, Windows), Google Authenticator (Android iOS)
    • Allgemeiner Vergleich vieler OTP-Anwendungen, Clients für 2FA mit TOTP (englischsprachige Wikipedia)
    • Du kannst auch einen Desktop-Client wie das OATH Toolkit (Linux, macOS via Homebrew) oder WinAuth (Windows) verwenden. Denke daran: Wenn Du dich von demselben Computer aus anmeldest, mit dem Du die TOTP-Einmalpasswörter generierst, schützt diese Methode dein Konto nicht, wenn ein Angreifer Zugang zu deinem Computer erhält.
    • Passwort-Manager wie 1Password, Bitwarden und KeePass unterstützen in der Regel auch TOTP bzw. haben entsprechende Plugins. Diese haben die gleichen Einschränkungen wie die oben genannten, aber es kann sich lohnen, einen Blick darauf zu werfen, wenn Du bereits einen Passwortmanager für andere Dinge verwendest.
      Übersicht über den Abschnitt Einstellungen zur Aktivierung der Zwei-Faktor-Authentifizierung.
  • Gehe zu Special:OATH auf einem Projekt, auf dem du eines der oben genannten Rechte hast (dieser Link ist auch in deinen Einstellungen verfügbar). (Für die meisten Nutzer ist das nicht hier auf Meta-Wiki.)
  • Special:OATH zeigt dir einen QR-Code, der den Zwei-Faktor-Benutzernamen und den Zwei-Faktor-Geheimcode (secret key) enthält. Diese Informationen sind notwendig um deinen Client mit dem Server zu koppeln (pairing).
  • Scanne den QR-Code mit dem TOTP-Client oder gib deinen Zwei-Faktor-Benutzernamen und -Geheimcode im TOTP-Client ein.
  • Gib den Authentifizierungscode von deinem TOTP-Client in den OATH-Bildschirm ein, um die Einschreibung abzuschließen.

Anmelden

Anmeldeseite
  • Gib deinen Benutzernamen und dein normales Passwort ein, bestätige diese wie gewohnt.
  • Gib das 6-stellige Einmalpasswort ein, das von deinem TOTP-Client angezeigt wird. Hinweis: Dieses Einmalpasswort ändert sich ungefähr alle 30 Sekunden.

Angemeldet bleiben

Wenn du diese Option beim Einloggen wählst, musst du normalerweise keine neuen Authentifizierungspasswörter eingeben, solange du denselben Browser verwendest. Aktionen wie das Abmelden oder Löschen der Browser-Cookies erfordern bei der nächsten Anmeldung die Eingabe eines aktuellen Einmalpassworts.

Bei einigen sicherheitsrelevanten Aktionen, wie z. B. der Änderung deiner E-Mail-Adresse oder deines Passworts, musst du dich möglicherweise erneut mit einem Code authentifizieren, auch wenn du die Option "Eingeloggt bleiben" gewählt hast.

API-Zugriff

Die Zwei-Faktor-Authentifizierung wird nicht bei OAuth oder Bot-Passwörtern mit API-Zugriff verwendet.

Du kannst OAuth- oder Bot-Passwörter verwenden, um API-Sitzungen auf bestimmte Aktionen zu beschränken und gleichzeitig eine Zwei-Faktor-Authentifizierung zu verwenden, um deinen vollen Zugang zu schützen. Bitte beachte, dass OAuth- und Bot-Passwörter nicht verwendet werden können, um sich interaktiv auf der Webseite anzumelden, sondern nur für die API.

Zum Beispiel unterstützten Werkzeuge wie AutoWikiBrowser (AWB) die Zwei-Faktor-Authentifizierung noch nicht, können aber Bot-Passwörter verwenden. Weitere Informationen zur Konfiguration findest Du hier.

Zwei-Faktor-Authentifizierung deaktivieren

Austragung
  • Gehe zu Special:OATH oder vorlieben. Wenn Du dich nicht mehr in Gruppen befindest, die sich dazu einschreiben dürfen, kannst Du es immer noch über Special:OATH deaktivieren.
  • Verwende auf der Seite Zwei-Faktor-Authentifizierung deaktivieren dein Authentifizierungsgerät, um ein Einmalpasswort zu generieren und den Vorgang abzuschließen.

Wiederherstellungs-Codes

OATH-Beispiel einmalig nutzbarer Wiederherstellungs-Codes

Wenn du dich für die Zwei-Faktor-Authentifizierung einschreibst (und diese aktivierst), erhältst du eine Liste mit zehn Einmal-Wiederherstellunscodes. Bitte drucke diese Wiederherstellunscodes aus und bewahre sie an einem sicheren Ort auf, denn du wirst sie brauchen, falls du den Zugang zu deinem 2FA-Gerät verlierst. Es ist wichtig zu wissen, dass jedes dieser Passwörter nur einmalig verwendet werden kann und dann abgelaufen ist! Nachdem du einen Wiederherstellunscode verwendet hast, kannst du sie mit einem Stift durchstreichen oder auf andere Weise markieren, dass dieser Wiederherstellunscode bereits verwendet wurde. Um einen neuen Satz Wiederherstellunscodes zu generieren, musst du die Zwei-Faktor-Authentifizierung deaktivieren und erneut aktivieren.

Deaktivieren der Zwei-Faktor-Authentifizierung ohne ein Authentifizierungsgerät

Dazu sind möglicherweise zwei Wiederherstellunscodes erforderlich: eine zum Anmelden und eine andere zum Deaktivieren. Solltest du jemals einen Wiederherstellunscodes verwenden müssen, ist es ratsam die Zwei-Faktor-Authentifizierung kurzzeitig zu deaktivieren und wieder zu aktivieren, um so schnell wie möglich einen neuen vollständigen Satz Wiederherstellunscodes zu erzeugen.

Wiederherstellung nach einem verlorenen oder defekten Authentifizierungsgerät

Wenn Du ein vorhandenes 2FA-Gerät hast, das einfach nicht mehr die richtigen Codes erzeugt, überprüfe, ob seine Uhr einigermaßen genau geht. Es ist bekannt, dass zeitbasierte OTPs in unseren Wikis mit einer Abweichung von 2 Minuten fehlschlagen.

Um dich aus der Zwei-Faktor-Authentifizierung vollständig auszutragen, brauchst du Zugang zu den Wiederherstellunscodes, die du bei der Einschreibung bzw. bei der 2FA-Aktivierung erhalten hast. Dazu musst du bis zu zwei Wiederherstellunscodes verwenden:

  • Du musst angemeldet sein. Wenn Du noch nicht angemeldet bist, musst Du einen Wiederherstellunscode verwenden.
  • Besuche Special:OATH und verwende einen anderen Wiederherstellunscode, um die Zwei-Faktor-Authentifizierung zu deaktivieren.

Wenn Du nicht genügend Wiederherstellungscodes hast, kannst Du das Team Trust and Safety („Vertrauen und Sicherheit“) unter ca(_AT_)wikimedia.org kontaktieren, um die Entfernung von 2FA aus deinem Konto zu beantragen (sende bitte eine E-Mail mit der für dein Wiki-Konto registrierten E-Mail-Adresse). Du solltest auch eine Aufgabe im Phabricator erstellen, wenn Du noch Zugriff darauf hast. Bitte beachte, dass die 2FA-Entfernung durch die Mitarbeitenden nicht in jedem Fall gewährt wird.

Siehe wikitech:Password and 2FA reset#For users für Anweisungen zur Beantragung der 2FA-Entfernung für dein Entwicklerkonto.

Web-Authentifizierungsverfahren

Bitte beachte, dass die meisten Anweisungen auf dieser Seite spezifisch für die TOTP-Methode sind. Die Methode WebAuthn ist experimenteller und hat derzeit keine Wiederherstellungsoptionen (vgl. Verwandte Entwickleraufgabe). WebAuthn hat ein lange bekanntes Problem, das dazu führt, dass zukünftige Anmeldungen nur in demselben Projekt möglich sind, mit dem es erstmals eingerichtet wurde - nicht z.B. in einem anderen Wiki (Fehlerverfolgung). Hierfür ist derzeit keine Lösung zu erwarten, da dieses Problem bereits Anfang 2020 gemeldet und dann lange diskutiert wurde.

Siehe auch