Help:二要素認証
ウィキメディア財団では利用者アカウントのセキュリティ強化の方策の一つとして二要素認証 (2FA、別名二段階認証) を実施しています。二要素認証(多要素認証)を有効にすると、ログインのたびにパスワードと6桁の一時的な認証コードの入力を求められます。コードはスマートフォンその他の認証デバイスのアプリで生成されます。ログイン時にはパスワードと、コードを生成する認証デバイスが必要です。
影響を受けるアカウント
Wikimediaでは現状、二段階認証を試験的にオプションとして導入しています(若干の例外あり)。
これを利用できるフラグ (oathauth-enable)
は製品試験段階にあり、現時点では、管理者 (ならびに管理者同等の権限を付与されたインターフェイス編集者など)、ビューロクラット、チェックユーザー、オーバーサイト係、とスチュワード、編集フィルター管理者、および二段階認証試験者でテスト中です。
Wikitech LDAPアカウント(開発者アカウントともいう)も対象とします。これらのアカウントは統一ログインの一部ではありません。
導入必須の利用者グループ
二段階認証を有効にする
(oathauth-enable)
のアクセス権限を取得 (デフォルトでは、管理者、ビューロクラット、オーバーサイト、チェックユーザーなどの権限を持つ利用者グループで有効です)- タイムベースドワンタイムパスワードアルゴリズム (TOTP) のクライアントを入手もしくはインストールします。大半の利用者はスマートフォンもしくはタブレット向けアプリケーションを利用することになるでしょう。推奨されるアプリはたとえば:
- オープンソース: FreeOTP (Android, iOS), andOTP (Android), Authenticator (iOS). Authenticator.cc (Chrome, Firefox & Edge), Passman (NextCloud)
- クローズドソース: Authy (Android, iOS), Google Authenticator (Android iOS)
- 2FAのTOTPとして使用することができる一般的なOTPアプリケーションの比較(英語版ウィキペディア)
- OATH Toolkit(Linux、Homebrew経由のmacOS)、またはWinAuth (Windows)などのデスクトップクライアントを使用することもできます。TOTPコードの生成に使用するコンピューターからログインする場合、もしそのコンピューターに攻撃者が侵入してしまうと、この方法ではアカウントが保護されないことに注意してください。
- 1Password、Bitwarden、KeePassなどのパスワードマネージャーも、TOTPをサポートするプラグインに対応する/を備える傾向が見られます。これには上記と同じ限界がありますが、既に他のもの用に使っているなら検討する価値があるでしょう。
- 前述のうち自分が付与された権限があるプロジェクトでSpecial:OATHを開きます (利用者の個人設定を開くと同じ手順が始まります)。(多くの利用者には現在閲覧しているmeta-wikiは該当しません。)
- Special:OATHページからQRコードを入手し、多要素認証アカウント名及び多要素認証シークレットキーにアクセスします。これはご利用のクライアントとサーバを連携するために必要です。
- QRコードを画像読み込みするか、ご利用のTOTPクライアントに多要素認証アクセス名とキーを入力します。
- TOTPクライアントから認証コードをOATH画面に入力し、設定を完了します。
警告:ワンタイムのスクラッチコード10組も提供されるはずです。このページのコピーを印刷して安全な場所に保存してください。TOTPクライアントの喪失もしくは作動に問題がある場合、これらのコードが使えないと、ご自分のアカウントから閉め出されてしまいます。 |
ログイン
- 利用者名とパスワードを用意し、以前と同じようにログイン処理をします。
- TOTPクライアントに対して付与された6桁のワンタイム認証コードを入力。注記:このコードはおよそ30秒間隔で更新されます。
ログイン状態を保持
ログイン時にこのオプションにチェックマークを入れると、同一のブラウザを利用する限り、認証コードの入力は不要になります。ログアウトやブラウザのcookie(クッキー)を消去すると、次回のログイン時に認証コードを要求されます。
ログイン時にログイン状態の保持を設定してあっても、電子メールアドレスやパスワードの変更など、セキュリティ上にリスクのある動作をしようとすると、再度、認証手続きを求められることがあります。
APIのアクセス
APIからOAuthあるいはbot passwords (ボットパスワード) を使ってログインするとき、二段階認証は使いません。
特定の動作に関してOAuthかボットパスワードを用いるようにAPIセッションを限定する場合も、全体のアクセスは二段階認証で保護できます。APIへのログインと異なり、ウェブサイトへのログインにはOAuthかボットパスワードかどちらかしか使えず、片方をもう一方の代替手段にすることはできない点にご注意ください。
一例として、オートウィキブラウザー (AWB) などのツールでは二段階認証をサポートしておらず、ボットパスワードを使います。
二段階認証を無効にする
2FAをすでに有効にしている場合、2FAの登録を許可する権限を削除しても、2FAは無効にはなりません。無効にするには、次の手順に従います。 |
- Special:OATHもしくは個人設定を開きます。以前、参加していたグループから退去した後でも、Special:OATH経由で無効の処理ができます。
- 認証ディバイスを使って多要素認証を無効にするページを開き、無効にする手続きを完了するコードを生成します。
リカバリーコード
多要素認証を有効にするとき、ワンタイム・リカバリーコードを10件支給されます。それらのコードをプリントアウトして安全な場所に保存してください。2FA認証ディバイスを利用できない場合、これらを使う必要があるからです。これらのコードはそれぞれ1回限定だという点にご注意ください。1回使うと2度と使えません。1件使うごとにプリントアウトしたものをペンでスクラッチ (塗りつぶす) するか、使用済みの印を付けるとよいでしょう。新しいコードを1セット生成するには、一旦、他要素認証を無効にして、再度、有効にし直します。
認証ディバスを使わずに多要素認証を無効にする
この処理にはリカバリーコードをログイン手続きに1件、無効化に1件の合計2件使います。もしリカバリーコードを使用する場面があったとしたら、なるべく時間をおかずに一旦 (二段階認証を) 無効にして再度、有効にし直し、新しいコードを一式生成することを推奨します。
認証ディバイスを喪失や破損した時の復旧方法
2FAデバイスが単に正確なコードを生成しなくなった場合、そのデバイスの時計が正確かチェックしてください。ウィキメディアのTOTP2分の誤差があると認証できないことが知られています。
多要素認証を解除するには、設定した時に付与されたリカバリーコードが必要です。解除手続き中に求められるスリカバリーコードは最大2件です。
- 手続きするにはログインします。まだログインしていない状態であれば、1件目のリカバリーコードを使います。
- Special:OATHを開き、2件目のリカバリーコードを使い多要素認証を解除します。
リカバリーコードが足りない場合は、cawikimedia.orgの信頼と安全に連絡し、アカウント(ウィキのアカウントに登録済みのEメールアドレスを使用してEメールを送信してください)から、2FAの削除を要求してください。アクセス権がある場合は、Phabricatorにタスクを作成する必要もあります。なおスタッフによる2FAの削除は、必ずしも許可されないことにご注意ください。
開発者アカウントの二段階認証の削除の依頼する手順についてはwikitech:Password and 2FA reset#For usersを参照してください。
Web認証方法
このページのほとんどの指示は、TOTP方式に固有のものであることに注意してください。 Web認証方式はより実験的であり、現在、回復オプションはありません。(phab:T244348を参照すること)。 Web認証方式には、あなたがそれを始めたと同じプロジェクトから今後のログオンを行う必要がある(tracking task)という問題があることが知られています。
関連項目
- 多要素認証の概念に関する日本語版ウィキペディアの記事およびウィキデータの項目
- ウィキメディアの二要素認証の既知のバグと改善の要望はPhabricatorで共同して追跡中
- OATHAuthはこの用途に使うMediaWiki拡張機能
- ウィキメディア財団セキュリティ部門/CentralAuthウィキ向け二要素認証
- Help:二要素認証 - MediaWiki.org