Ayuda:Autenticación de dos factores
La implementación de Wikimedia de la autenticación de dos factores (AF2 o Two-factor authentication (2FA) en inglés) es una forma de fortalecer la seguridad de tu cuenta. Si activas la autenticación de dos factores, cada vez que inicies sesión se te pedirá un código de autenticación de seis dígitos de un solo uso además de tu contraseña. Este código lo proporciona una aplicación en tu teléfono inteligente u otro dispositivo de autenticación. Para poder iniciar sesión, debes conocer tu contraseña y tener disponible tu dispositivo de autenticación para generar el código.
Cuentas afectadas
La autenticación de dos factores en Wikimedia es actualmente experimental y opcional (con algunas excepciones). La activación requiere del permiso (oathauth-enable)
, actualmente en pruebas de producción con administradores (y usuarios con permisos de administración similares como editores de interfaz), burócratas, verificadores de usuarios, supresores, stewards, administradores del filtro de ediciones y el grupo global de probadores de OATH.
Todas las cuentas Wikitech LDAP (también conocida como cuenta de desarrollador) también son elegibles. Estas cuentas no forman parte de la Identificación unificada.
Grupos de usuarios de uso obligatorio
Activar la autenticación de dos factores
- Tener acceso
(oathauth-enable)
(por defecto, disponible para administradores, burócratas, supresores, usuarios de control y otros grupos de usuarios privilegiados) - Tener o instalar un algoritmo de contraseña de un solo uso basado en tiempo. Para la mayoría de los usuarios, esta será una aplicación para teléfono o tableta. Las aplicaciones comúnmente recomendadas incluyen:
- De código abierto: FreeOTP (Android, iOS), andOTP (Android), Authenticator (iOS), Authenticator.cc (Chrome, Firefox y Edge), Passman (NextCloud) y KeePassXC (Linux, macOS y Windows)
- De código cerrado: Authy (Android, iOS, macOS y Windows) y Google Authenticator (Android e iOS)
- Comparación general de muchas aplicaciones OTP comunes que podrían usarse como cliente TOTP para AF2 (Wikipedia en inglés)
- También puedes usar cualquier cliente de escritorio como OATH Toolkit (Linux y macOS via Homebrew) o WinAuth (Windows). Ten en cuenta que si inicias sesión desde la computadora utilizada para generar estos códigos, este enfoque no protege tu cuenta si un atacante obtiene acceso a tu computadora.
- Algunos administradores de contraseñas como 1Password, Bitwarden y KeePass también tienden a admitir o tienen complementos para admitir estas códigos. Esto tiene las mismas limitaciones que las anteriores, pero vale la pena analizarlo si ya usas uno para otras cosas.
- Ir a Special:OATH en el proyecto donde tienes uno de los permisos arriba mencionados (este enlace está disponible también desde tus preferencias). (Para la mayoría de los usuarios, esto no estará aquí en Meta-Wiki.)
- Special:OATH te presentará un código QR conteniendo el nombre de la cuenta de dos factores y la clave secreta de dos factores. Esto es necesario para emparejar tu cliente con el servidor.
- Escanea el código QR o ingresa el nombre y la clave de la cuenta de dos factores en tu cliente de códigos.
- Ingresa el código de autenticación de tu cliente de códigos en la pantalla OATH para completar la activación.
Acceder a tu cuenta
- Introduzca su nombre de usuario y contraseña, y envíelo como antes.
- Introduzca un código de autenticación de un solo uso de seis dígitos proporcionado por el cliente de códigos. Nota: este código cambia cada treinta segundos aproximadamente.
Mantenerme conectado
Si elige esta opción al iniciar sesión, normalmente no necesitará ingresar un código de autenticación cuando use el mismo navegador. Las acciones como cerrar la sesión o borrar la memoria cookies del navegador requerirán un código en su próximo inicio de sesión.
Es posible que algunas acciones sensibles a la seguridad, como cambiar su dirección de correo electrónico o contraseña, requieran que vuelva a autenticarse con un código, incluso si eligió la opción de mantenerse conectado.
Acceso a la API
La autenticación de dos pasos no es utilizada cuando se usa OAuth o las contraseñas de bot para iniciar sesión a través de la API.
Puede usar contraseñas de OAuth o bot para restringir las sesiones de la API a acciones específicas, a la vez que utiliza la autenticación de dos factores para proteger su acceso completo. Tenga en cuenta que las contraseñas OAuth y bot no se pueden utilizar para iniciar sesión interactivamente en el sitio web, solo en la API.
Por ejemplo, a los que les gusta las herramientas como AutoWikiBrowser (AWB) aún no admiten la autenticación de dos pasos, pero se pueden usar contraseñas de bot.
Desactivar la autenticación en dos pasos
- Vaya a Special:OATH o a preferencias. Si ya no está en grupos a los que se le permite inscribirse, aún puede cancelar su inscripción a través de Special:OATH.
- En la página inhabilitar la autenticación de dos factores, utilice su dispositivo de autenticación para generar un código y finalizar el proceso.
Códigos de recuperación
Al activar la autenticación de dos factores, se te proporcionará una lista de diez códigos de recuperación de un solo uso. Imprime esos códigos y guárdalos en un lugar seguro, ya que es posible que necesites usarlos en caso de que pierdas el acceso a tu dispositivo A2F. Es importante tener en cuenta que cada uno de estos códigos es de uso único; solo puede usarse una vez y luego caduca. Después de usar uno, puedes tacharlo con un bolígrafo o marcar que se ha utilizado el código. Para generar un nuevo conjunto de códigos, deberás desactivar y volver a activar la autenticación de dos factores.
Deshabilitar la autenticación en dos pasos sin el dispositivo identificación
Esto puede requerir dos códigos de recuperación: uno para iniciar sesión y otro para desactivar la autenticación de dos factores. Si alguna vez necesitas utilizar alguno de tus códigos de recuperación, es recomendable desactivarlo y volverlo a activar para generar un nuevo conjunto de códigos lo antes posible.
Recuperación de un dispositivo de autenticación perdido o roto
Si tienes un dispositivo de autenticación en dos pasos que ha dejado de generar códigos correctos por favor verifica que el reloj del mismo esté debidamente sincronizado y/o sea razonablemente exacto.
Necesitará acceso a los códigos de recuperación que le proporcionaron al inscribirse para desinscribirse de la autenticación de dos factores. Se requerirá que utilice hasta dos códigos de recuperación para lograr esto:
- Debe iniciar sesión. Si aún no ha iniciado sesión, utilizará un código de recuperación.
- Visita Special:OATH y usa un código de recuperación diferente para cancelar la autenticación de dos factores.
Si te has quedado sin códigos de recuperación puedes contactar con Trust and Safety por correo electrónico a la dirección cawikimedia.org para solicitar que te retiren la autenticación en dos pasos de tu cuenta (habrás de enviar el correo electrónico desde la dirección de correo que tengas registrada en tu cuenta de usuario). Si puedes, crea también un tique en Phabricator si todavía tienes acceso. Ten en cuenta que la remoción de la autenticación de dos pasos por el personal de la Fundación no siempre se autoriza.
See wikitech:Password and 2FA reset#For users for instructions on requesting 2FA removal for your Developer account.
Método de autenticación web
Please note, most of the directions on this page are specific to the TOTP method. The WebAuthn method is more experimental and currently has no recovery options (cf. related developer task).
WebAuthn has a known issue that you must make future logons on the same project that you initiate it from (tracking task).
Véase también
- The concept of multi-factor authentication in the English Wikipedia and a Wikidata item about it
- Known bugs and requested improvements of Wikimedia's two-factor authentication are collaborated on and tracked in Phabricator
- OATHAuth is the MediaWiki extension used for this functionality
- Wikimedia Security Team/Two-factor Authentication for CentralAuth wikis
- Help:Two-factor authentication in the MediaWiki.org