Help:二段階認証

From Meta, a Wikimedia project coordination wiki
Jump to navigation Jump to search
This page is a translated version of the page Help:Two-factor authentication and the translation is 98% complete.
Other languages:
Bahasa Indonesia • ‎Deutsch • ‎English • ‎Esperanto • ‎Nederlands • ‎Tiếng Việt • ‎Türkçe • ‎asturianu • ‎azərbaycanca • ‎dansk • ‎español • ‎français • ‎galego • ‎italiano • ‎norsk bokmål • ‎polski • ‎português • ‎português do Brasil • ‎română • ‎čeština • ‎беларуская (тарашкевіца)‎ • ‎русский • ‎سنڌي • ‎فارسی • ‎नेपाली • ‎हिन्दी • ‎বাংলা • ‎മലയാളം • ‎ไทย • ‎ქართული • ‎中文 • ‎日本語 • ‎한국어
ヘルプ ページ 二段階認証のヘルプ
このページでは、ウィキメディア財団のウィキ群における二段階認証について説明します。この機能を追加する拡張機能の説明文書については、 mw:Extension:OATHAuthを参照。

ウィキメディア財団では利用者アカウントのセキュリティ強化の方策の一つとして二段階認証 (2FA) を実施しています。二段階認証(多要素認証)を有効にすると、ログインのたびにパスワードと6桁の一時的な認証コードの入力を求められます。コードは スマートフォンその他の認証ディバイスのアプリで生成されます。ログイン時にはパスワードと、コードを生成する認証ディバイスが必要です。

影響を受けるアカウント

Wikimediaでは現状、二段階認証を試験的にオプションとして導入しています。 これを利用できるフラグ((oathauth-enable))は製品試験段階にあり、現時点では、管理者 (ならびに管理者同等の権限を付与されたインターフェイス編集者など)、ビューロクラットチェックユーザーオーバーサイト係、とスチュワード編集フィルター管理者、およびOATH-testers global group(二段階認証試験者)でテスト中です。

Wikitech LDAPアカウントも対象とします。

導入必須の利用者グループ

二段階認証を有効にする

個人設定のタブで2要素認証を有効にする処理の概要。
  • 前述のうち自分が付与された権限があるプロジェクトSpecial:OATHを開きます (利用者の個人設定を開くと同じ手順が始まります)。(多くの利用者には現在閲覧しているmeta-wikiは該当しません。)
  • Special:OATHページからQRコードを入手し、多要素認証アカウント名及び多要素認証シークレットキーにアクセスします。これはご利用のクライアントとサーバを連携するために必要です。
  • QRコードを画像読み込みするか、ご利用のTOTPクライアントに多要素認証アクセス名とキーを入力します。
  • TOTPクライアントから認証コードをOATH画面に入力し、設定を完了します。
Warning 警告:ワンタイムのスクラッチコードを10組、提供されるはずです。それらのコードは書き写して安全な場所に保存してください。TOTPクライアントの喪失もしくは作動に問題がある場合、これらのコードが使えないと、ご自分のアカウントから閉め出されてしまいます。

ログイン

ログイン画面
  • 利用者名とパスワードを用意し、以前と同じようにログイン処理をします。
  • TOTPクライアントに対して付与された6桁のワンタイム認証コードを入力。注記:このコードはおよそ30秒間隔で更新されます。

ログイン状態を保持

ログイン時にこのオプションにチェックマークを入れると、同一のブラウザを利用する限り、認証コードの入力は不要になります。ログアウトやブラウザのキャッシュを消去すると、次回のログイン時に認証コードを要求されます。

ログイン時にログイン状態の保持を設定してあっても、電子メールアドレスやパスワードの変更など、セキュリティ上にリスクのある動作をしようとすると、再度、認証手続きを求められることがあります。

APIのアクセス

APIからOAuthあるいはbot passwords (ボットパスワード) を使ってログインするとき、二段階認証は使いません。

特定の動作に関してOAuthかボットパスワードを用いるようにAPIセッションを限定する場合も、全体のアクセスは二段階認証で保護できます。APIへのログインと異なり、ウェブサイトへのログインにはOAuthかボットパスワードかどちらかしか使えず、片方をもう一方の代替手段にすることはできない点にご注意ください。

一例として、オートウィキブラウザー (AWB) などのツールでは二段階認証をサポートしておらず、ボットパスワードを使います。

二段階認証を無効にする

無効にする
Warning

2FAをすでに有効にしている場合、2FAの登録を許可する権限を削除しても、2FAは無効にはなりません。無効にするには、次の手順に従います。

  • 認証ディバイスを使って多要素認証を無効にするページを開き、無効にする手続きを完了するコードを生成します。

スクラッチコード

OATHに用いるスクラッチコードの見本

多要素認証を有効にするとき、ワンタイム・スクラッチコードを10件支給されます。それらのコードをプリントアウトして安全な場所に保存してください。2FA認証ディバイスを利用できない場合、これらを使う必要があるからです。これらのコードはそれぞれ1回限定だという点にご注意ください。1回使うと2度と使えません。1件使うごとにプリントアウトしたものをペンでスクラッチ (塗りつぶす) するか、使用済みの印を付けるとよいでしょう。新しいコードを1セット生成するには、一旦、他要素認証を無効にして、再度、有効にし直します。

認証ディバスを使わずに多要素認証を無効にする

この処理にはスクラッチコードをログイン手続きに1件、無効化に1件の合計2件使います。もしスクラッチコードを使用する場面があったとしたら、なるべく時間をおかずに一旦 (二段階認証を) 無効にして再度、有効にし直し、新しいコードを一式生成することを推奨します。

認証ディバイスを喪失や破損した時の復旧方法

2FAデバイスが単に正確なコードを生成しなくなった場合、そのデバイスの時計が正確かチェックしてください。ウィキメディアのTOTP2分の誤差があると認証できないことが知られています。

多要素認証を解除するには、設定した時に付与されたスクラッチコードが必要です。解除手続き中に求められるスクラッチコードは最大2件です。

  • 手続きするにはログインします。まだログインしていない状態であれば、1件目のスクラッチコードを使います。
  • Special:OATHを開き、2件目のスクラッチコードを使い多要素認証を解除します。

スクラッチコードが足りない場合は、ca(_AT_)wikimedia.orgの信頼と安全に連絡し、アカウント(ウィキのアカウントに登録済みのEメールアドレスを使用してEメールを送信してください)から、2FAの削除を要求してください。アクセス権がある場合は、Phabricatorにタスクを作成する必要もあります。なおスタッフによる2FAの削除は、必ずしも許可されないことにご注意ください。

See wikitech:Password and 2FA reset#For users for instructions on requesting 2FA removal for your Developer account.

関連項目