Help:二要素認証

2025年12月現在、二要素認証はウィキメディアプロジェクトのすべての登録利用者が利用可能となっています。

認証アプリは通常スマートフォンやタブレットにインストールされるモバイルアプリです。パスワードマネージャーに機能として含まれている場合もあります。これらのアプリは、ログイン時に使用する認証コードを生成できます。代表的なものとして、Google Authenticator・Microsoft Authenticator（英語版記事）・1Password（英語版記事）・FreeOTPなどが挙げられます。お使いのデバイスやOSに適した認証アプリを探すには、英語版ウィキペディアの「comparison of common OTP applications」をご覧ください。

二要素認証用のスマートフォンやタブレットを所持していない場合には、コンピュータを利用することもできますが、安全性は劣ります。

セキュリティキーは、ログインする端末に接続してログイン時の本人確認に用いる、たいていフラッシュメモリのような見た目の外付けのハードウェアデバイスです。代表的なセキュリティキーのブランドとして、YubiKey・Nitrokey（英語版記事）・Titan Security Key（英語版記事）などが挙げられます。モバイルアプリ版のウィキペディアではセキュリティキーをサポートしていないため、モバイルアプリ版からログインする場合は、認証アプリを少なくとも1つ以上併せて登録する必要があります。

パスキーは、より簡単で迅速なログイン方法です。セキュリティキーやスマートフォン上の認証アプリといった、追加の認証用デバイスを別途用意する必要はありません。パスキーは端末やパスワードマネージャーに保存され、指紋認証、顔認証、PINコードなどを用いて本人確認を行います。パスキーを追加する前に、他の二要素認証方法のいずれかを先に設定しておく必要があります。

お使いの利用者アカウントで二要素認証を有効化するためには、現在のパスワードでログインできる状態にあることと、設定可能な2つ目の認証手段を用意することが必要です。

二要素認証を有効化する方法

1. Special:AccountSecurityに移動します。個人設定内のリンクからも同じページへアクセスできます。
2. 認証アプリないしセキュリティキーを追加する選択肢を選び、手順に従って登録作業を行ってください。
3. 回復コードをダウンロードし、保存または印刷してください。
4. （任意）認証アプリまたはセキュリティキーを1つ以上設定した後、パスキーを追加できます。

複数の認証アプリやセキュリティキーを登録するには、上記の手順を繰り返します。

まず、お使いの利用者名とパスワードを入力してください。二段階目は登録した認証手段によって異なります。

• 認証アプリをご利用の場合：認証アプリから生成された認証コードを入力してください。注釈：認証コードは30秒ごとに更新されます。うまく動作しないときは、困ったときはをご覧ください。
• セキュリティキーをご利用の場合：ブラウザのプロンプトの指示に従ってください。セキュリティキーと認証アプリの両方を登録している場合、システムは最初にセキュリティキーを要求しますが、認証アプリによる本人確認に切り替えることもできます。モバイルアプリ版のウィキペディアはセキュリティキーをサポートしていないため、モバイルアプリ版からログインする場合は認証アプリも併せて登録する必要がある点に留意してください。
• パスキーをご利用の場合：端末の指示に従い、指紋認証、顔認証、またはPINコードを用いて本人確認を完了してください。

1. Special:AccountSecurityに移動します。
2. 認証手段を選択し、ボタンを押して削除します。
3. 二要素認証を完全に無効化するには、すべての認証手段を同様に削除してください。

認証用デバイスを紛失し、ウィキメディアプロジェクトから自動的にログアウトされてしまった場合の二要素認証の無効化方法については、困ったときはをご参照ください。

認証用デバイスと回復コードの両方を紛失し、二要素認証を無効化できなくなった場合は、ウィキメディア財団のサポートデスクに二要素認証の解除依頼を提出することで、利用者アカウントへのアクセスを復旧できる可能性があります。

二要素認証を有効化する際、回復コードのリストが発行されます。印刷ないしダウンロードし、必ず安全かつオフラインな場所に保管しておいてください。認証アプリやセキュリティキーを利用できなくなった場合、利用者アカウントへのアクセスを回復するためにこれらのコードが必要となります。

それぞれの回復コードは使い捨てで、一度利用すると失効します。完全に使い果たすことを防ぐため、回復コードを使用したら、Special:AccountSecurityに移動して新しい回復コードのセットを再発行してください。

パスキーを追加したユーザーは、ユーザー名やパスワードを入力せずにログインできるようになりました(パスワードレスログイン)。ユーザー名欄をクリックすると、ログインオプションとしてパスキーが表示されます。

パスキーを追加する方法:

1. このページの手順に従って、セキュリティキーまたは認証アプリを使用した二要素認証を有効化してください。
2. 二要素認証を有効化した後、 Special:AccountSecurity へアクセスし、「パスキーを追加」のボタンをクリックしてください。ボタンが無効になっている場合は、困ったときはをご覧ください。
3. 次回ログイン時には、ユーザー名入力欄にパスキーが自動入力オプションとして表示されます。このオプションをクリックすると、ユーザー名とパスワードを入力せずにすぐにログインできます。通常どおりユーザー名とパスワードを入力すると、デバイスが二要素認証のためにパスキーの使用を促します。

二要素認証を有効化していない場合、ログイン時にときどきメール認証が要求されることがあります。この認証方式では、利用者アカウントに紐づけられたメールアドレス宛に送信された認証コードを入力する必要があります。不正アクセスからあなたの利用者アカウントを保護するため、このセキュリティ機能を無効化することはできません。ただし、メール認証よりも二要素認証の方が強力なため、二要素認証を有効化した場合はメール認証が発動しなくなります。

利用者アカウントで二要素認証を有効化すると、ボットアカウントやツールへのアクセスに影響が出る可能性があります。二要素認証であなたのメインの利用者アカウントを保護しつつ、APIセッションを特定の操作に制限するためには、OAuthやボットパスワードをご利用ください。

例えば、AutoWikiBrowser（AWB）のようなツールは二要素認証をサポートしていませんが、代わりにボットパスワードを利用できます。

設定済みの認証アプリで正しい認証コードが生成できなくなってしまった場合は、デバイスの時刻設定をご確認ください。ウィキメディアの時間ベースのワンタイムパスワード（TOTP）は、2分以上の誤差があると認証できません。

二要素認証用に登録済みの認証手段が他にまだある場合は、そちらを使ってログインしてください。

万が一すべての認証手段を利用できなくなってしまった場合は、回復コードを使用できます。二要素認証画面で回復コードの入力画面を開き、保管してあった回復コードのうち1件を入力してください。

ログインに成功したら、先に新しい認証手段を登録してから、使えなくなった古い認証手段を無効化してください。

有効な回復コードが手元になく、二要素認証を完了できなくなってしまった場合は、ウィキメディア財団のサポートデスクに二要素認証の解除依頼を提出することで、利用者アカウントへのアクセスを復旧できる可能性があります。この依頼は、最終手段として行ってください。この状況の場合、ウィキメディア財団は、利用者アカウントの復旧の実施をお約束することはできません。

サポート依頼を提出する方法:

• cawikimedia.org宛に、二要素認証の解除を依頼する旨を記したメールを送信してください。その際、利用者アカウントに紐づけられたメールアドレスから送信してください。
• Phabricatorにアクセスできる場合は、本人確認を依頼するチケットをウィキメディア財団のスタッフ宛に提出することも可能です。
• 依頼が承認され、二要素認証が解除されたら、パスワードでログインし、二要素認証を再設定してください。

開発者アカウントにログインできない場合、二要素認証の解除依頼を提出する方法については、Wikitechの文書をご確認ください。

機種変更したときや、認証用デバイスを切り替えたいときは、まず新しいデバイスを登録してから、古いデバイスを削除します。

1. 古い認証用デバイスを使ってログインします。認証用デバイスをすべて紛失している場合は、回復コードを使って認証を完了します。
2. 新しいデバイスで、1つ以上の認証手段を有効化します。
3. 古い認証用デバイスを削除します。

パスキーを使用するには、まずセキュリティキーまたは認証アプリを使用した二要素認証 (2FA) を有効化する必要があります。すでに二要素認証を有効化しているにもかかわらず、Special:AccountSecurityで「パスキーを追加」ボタンがグレー表示されている、または無効になっている場合は、使用しているブラウザやオペレーティングシステムが対応していない可能性があります。パスキーを使用するには、以下のいずれかの環境が必要です。

• Windows（Windows Hello）や macOS（iCloudキーチェーン）など、組み込みのパスワードマネージャーを備えたオペレーティングシステムを使用する。
• Chrome に搭載されている Google パスワードマネージャーなど、ブラウザ内蔵のパスワードマネージャーを使用する。
• パスキーに対応した サードパーティ製パスワードマネージャー（例：1Password、Bitwarden、LastPass）をインストールする。

これらのいずれの環境も利用できない場合や、古いバージョンのブラウザまたはオペレーティングシステムを使用している場合は、パスキーを使用することができません。その場合、「パスキーを追加」ボタンは無効のまま表示されます。

この問題は、Linux 上で Firefox を使用している利用者に最も多く見られます。Firefox と Linux のいずれにも組み込みのパスワードマネージャーがないため、Linux 上の Firefox でパスキーを使用するには、1Password や Bitwarden、LastPass などのサードパーティ製パスワードマネージャーをインストールする必要があります。

二要素認証用の別のデバイスを所持していない場合は、WinAuth や Authenticator、KeeWebなどのアプリを利用することでほとんどのコンピュータ上で二要素認証のトークンを処理することが可能です。この方法は、スマートフォンやタブレットを持たない利用者が二要素認証を有効化するための推奨方法です。

現在パスワードマネージャーを利用している場合には、ご利用のパスワードマネージャーが二要素認証に対応しているかどうか確認してください。（パスワードマネージャーによっては、二要素認証（2FA）のことを、「OTP」や「TOTP」と呼んでいる場合があります。）現在利用中のパスワードマネージャーを用いて二要素認証を有効化することは、新たに二要素認証のアプリを設定するよりも簡単です。

注記: 普段編集で使用するコンピュータで二要素認証のデスクトップアプリを利用する場合、二要素認証モバイルアプリを利用する場合と比べて、セキュリティは低くなります。あなたのコンピュータとパスワードのどちらにもアクセスできる他者がアカウントへログインすることができる可能性があるためです。

一部のプラットフォームでは携帯電話番号の使用を利用者に認めています。このような利用者はメッセージアプリで認証のためのコードを受け取ります。私たちはSMSまたは類似の方法による二要素認証をサポートする予定はありません。

プライベートウィキはウィキペディアやメタとは違って、ウィキメディアグローバルアカウントに紐付けされていません。このため、プライベートウィキで二要素認証するには、ウィキメディアグローバルアカウントの二要素認証に加えて、それぞれのプライベートウィキで個別に設定する必要があります。

二要素認証の手段の再利用はパスワードの再利用とは異なります:

• それぞれのプライベートウィキで同一の基本および代替の二要素認証方法を設定することが推奨されます。
• それぞれのプライベートウィキで同一のプロバイダーまたは同一のデバイスからパスキーを追加することが推奨されます。
  • 好きなだけ多くのデバイスまたはプロバイダーから好きなだけ追加できます。
  • 同期するパスキーを利用するオプションがある場合（例えば、1PasswordクラウドアカウントやGoogleアカウント）、デバイスを変更した場合であっても、すべてをリセットすることなく同一のパスキーを使い続けることができます。

• バグの報告と改善の提案：ウィキメディアの二要素認証機能の実装について
• OATHAuth：二要素認証機能を実現しているMediaWikiの拡張機能
• 利用者アカウントのセキュリティと二要素認証の必須化に関する詳細