Aiuto:Autenticazione a due fattori
L'implementazione sui progetti Wikimedia della autenticazione a due fattori (in inglese, Two-factor authentication o 2FA) è un modo per rafforzare la sicurezza del tuo tuo account. Se attivi l'autenticazione a due fattori, ti verrà richiesto di inserire un codice di autenticazione unico di sei cifre in aggiunta alla tua password. Questo codice può essere ottenuto mediante una app sul tuo smartphone o tramite un altro dispositivo di autenticazione. Per effettuare l'accesso, dovrai ovviamente conoscere o ricordare la tua password e disporre di un dispositivo di identificazione per poter generare il codice di sei cifre.
Account interessati
L'autenticazione a due fattori sui progetti Wikimedia è al momento in fase sperimentale ed è opzionale (con alcune eccezioni). L'attivazione richiede un accesso (oathauth-enable)
, attualmente in sperimentazione per amministratori (ed utenti che hanno permessi simili agli amministratori, come ad esempio gli Modificatori di interfaccia), burocrati, checkuser, oversighter, steward, gestori di filtri e membri del gruppo globale "OATH-testers".
gruppi utenti con uso obbligatorio
Attivazione dell'autenticazione a due fattori
- Avere un accesso
(oathauth-enable)
(per impostazione predefinita, disponibile per amministratori, burocrati, soppressori, utenti di controllo e altri gruppi di utenti privilegiati) - Avere o installare un programma Time-based One-time Password Algorithm (TOTP). Per molti utenti, basterà scaricare un'applicazione per smartphone o tablet. Alcune applicazioni comuni sono:
- software libero: FreeOTP (Android, iOS), andOTP (Android), Authenticator (iOS), Authenticator.cc (Chrome, Firefox & Edge), Passman (NextCloud), KeePassXC (Linux, macOS, Windows)
- software non libero: Authy (Android, iOS), Google Authenticator (Android iOS)
- comparazione di diversi client su Wikipedia in inglese
- È possibile anche usare un client desktop come OATH Toolkit (Linux, macOS tramite Homebrew) o WinAuth (Windows). Ricorda che se fai il login dallo stesso computer usato per generare i codici TOTP questo approccio non ti protegge nel caso in cui un attaccante abbia accesso al tuo computer.
- Password manager come 1Password, Bitwarden e KeePass spesso supportano TOTP direttamente o tramite plugin. Questo ha le stesse limitazioni di cui sopra, ma può essere interessante se già li usi.
- Vai alla pagina [[Special:OATH]] in un progetto in cui hai uno o più diritti utente elencati qui sopra (questo link è disponibile soltanto nelle tue preferenze) (Per la maggior parte degli utenti, questo non sarà presente su meta-wiki.)
- La pagina Special:OATH ti darà un Codice QR contenente il tuo nome dell'account a due fattori e la tua chiave segreta a due fattori. Questo codice è necessario per collegare l'applicazione al server.
- Scansiona il codice QR con la tua applicazione TOTP oppure inserisci il nome dell'account e il codice nella tua applicazione TOTP.
- Inserisci il codice di autenticazione fornito dalla tua applicazione TOTP per completare l'operazione.
Accesso
- Inserisci il suo nome utente e la password e inviale come sopra.
- Inserisci il codice di autenticazione a sei cifre fornito dal client TOTP. NB: questo codice cambia ogni trenta secondi.
Mantenere l'account connesso
Se scegli questa opzione al momento dell'accesso, normalmente non avrai bisogno di inserire un codice di autenticazione quando utilizzi lo stesso browser. Azioni come la disconnessione o la cancellazione dei cookie del browser richiederanno un codice al tuo prossimo accesso.
Alcune azioni per tutelare la sicurezza del tuo account, come cambiare la tua e-mail o la tua password, potrebbero richiedere l'inserimento del codice di autorizzazione a 6 cifre, anche quando scegli di restare loggato col tuo account.
Accesso tramite API
L'autenticazione a due fattori non è utilizzata quando si usa OAuth o la password del bot per eseguire il log in tramite API.
Puoi utilizzare OAuth o la password del bot per limitare le sessioni tramite API ad azioni ben specifiche, mantenendo l'autenticazione a due fattori per proteggere il tuo account. Attenzione: sia OAuth che la password del bot non possono essere utilizzati per entrare nel sito normalmente, ma solo tramite API.
Per esempio, alcuni tool come AutoWikiBrowser (AWB) non supportano ancora l'autenticazione a due fattori, ma possono usare una password per bot.
Disattivazione dell'autenticazione a due fattori
- Vai a Special:OATH oppure preferenze. Se non appartieni più ad un gruppo a cui è permessa l'autenticazione a due fattori, puoi sempre disattivarla a Special:OATH.
- Inserisci il codice di autenticazione fornito dalla tua applicazione TOTP per completare la disabilitazione dell'autenticazione a due fattori.
Codici di ripristino
Quando attivi l'autenticazione a due fattori, ti verranno dati una serie di dieci codici alfanumerici usa e getta, utilizzabili una sola volta. Stampa questi codici e custodiscili in un posto sicuro perché potresti averne bisogno qualora dovessi perdere o avere un problema con la tua applicazione TOTP.
Ricordati che questi codici sono utilizzabili soltanto una volta, quindi ogni volta che ne usi uno, ricordati di cancellarlo o di segnare che quel codice è stato già usato. Qualora ti servisse generare una nuova lista di codici, dovrai disabilitare e poi riabilitare l'autenticazione a due fattori.
Disabilitare l'autorizzazione a due fattori senza un'applicazione
Questo può richiedere due codici usa e getta: uno per fare login e uno per disabilitare la funzione. Casomai dovessi utilizzare uno di questi codici, ricordati di disabilitare e ri-abilitare l'autorizzazione al più presto per poter ottenere un nuovo set di codici.
Recupero dei codici da un supporto perso o non funzionante
Se hai un dispositivo 2FA esistente che ha semplicemente smesso di generare i codici corretti, controlla che il suo orario sia ragionevolmente preciso. L'OTP basata sull'orario sui nostri wiki è noto per fallire con una differenza di 2 minuti.
Per disabilitare l'autorizzazione a due fattori avrai bisogno di utilizzare uno o due dei codici "usa e getta" che ti sono stati forniti. La procedura potrebbe richiedere di usare due codici usa e getta.
- Devi essere loggato. Se non lo sei, utilizza un codice monouso.
- Vai su Special:OATH e usa un differente codice monouso per disabilitare l'autorizzazione a due fattori.
Se hai esaurito i codici usa e getta, devi contattare Trust and Safety all'indirizzo di posta elettronica cawikimedia.org per richiedere la rimozione dell'autenticazione a due fattori dal tuo account (per favore invia un'e-mail utilizzando l'indirizzo di posta elettronica associato al tuo account wiki). Se riesci ancora ad accedere a phab:Phabricator dovresti anche creare un task. Si prega di notare che non sempre viene garantita la rimozione dell'autenticazione a due fattori da parte dello staff.
Vedi wikitech:Password and 2FA reset#For users per le istruzioni su come richiedere la rimozione dell'A2F al tuo Developer account.
Metodo di autenticazione Web
Tieni presente che la maggior parte delle indicazioni in questa pagina sono specifiche per il metodo TOTP. Il metodo WebAuthn è più sperimentale e attualmente non ha opzioni di ripristino (cfr. phab:T244348). WebAuthn has a known issue that you must make future logons on the same project that you initiate it from (tracking task).
Vedi anche
- L'articolo su Wikipedia in lingua italiana e l'item Wikidata riguardante il concetto di autenticazione a più fattori
- I bug noti e miglioramenti richiesti dell'autenticazione a due fattori di Wikimedia sono tracciati in Phabricator.
- OATHAuth è l'estensione per MediaWiki usata per questa funzionalità
- Team di sicurezza di Wikimedia/Autenticazione a due fattori per le wiki di CentralAuth
- Help:Two-factor authentication su MediaWiki.org