도움말:2요소 인증
위키미디어의 2단계 인증(2FA) 구현은 계정 보안을 강화하는 방법입니다. 2 단계 인증을 활성화하면 비밀번호와 함께 매번 6자리 인증 코드를 입력해야합니다. 이 코드는 스마트톤 또는 기타 인증 장치의 앱에서 제공합니다. 로그인하려면 비밀번호를 알고 있어야하며 코드를 생성하는 데 사용할 수있는 인증 장치가 있어야합니다.
영향을 받는 계정
위키미디어의 이중 인증은 현재 실험적이며 선택 사항입니다(일부 예외 있음). 등록하려면 (oathauth-enable) 권한이 필요하며, 현재 관리자(인터페이스 편집자와 같은 관리자 권한이 있는 사용자)와 사무관, 검사관, 기록보호자, 사무장, 편집 필터 관리자 및 OATH-테스터 글로벌 그룹과 프로덕션 테스트 중입니다.
모든 위키테크(Wikitech) LDAP 계정도 사용할 수 있습니다. (이 계정은 단일 통합 로그인의 일부가 아닙니다.)
필수 사용 사용자 그룹
이중 인증 활성화
(oathauth-enable)접근 권한 보유(기본적으로 관리자, 사무관, 기록보호자, 검사관 및 기타 권한이 있는 사용자 그룹이 사용 가능)- 시간 기반 일회용 비밀번호 알고리즘(TOTP, Time-based One-time Password Algorithm) 클라이언트가 있거나 설치합니다. 대부분의 사용자에게 이것은 전화 또는 태블릿 애플리케이션일 것입니다. 일반적으로 권장되는 앱은 다음과 같습니다:
- 오픈 소스: FreeOTP (안드로이드, iOS), andOTP (안드로이드), Authenticator (iOS), Authenticator.cc (크롬, 파이어폭스 및 엣지), Passman (NextCloud), KeePassXC (리눅스, 맥OS, 윈도우)
- 비공개 소스: Authy (안드로이드, iOS, 맥OS, 윈도우), 구글 인증서 (안드로이드 iOS)
- 2FA용 TOTP 클라이언트로 사용할 수 있는 많은 일반적인 OTP 애플리케이션의 일반적인 비교(영어 위키백과)
- OATH Toolkit(리눅스, 홈브류(Homebrew)를 통한 맥OS) 또는 WinAuth(윈도우)와 같은 데스크톱 클라이언트를 사용할 수도 있습니다. TOTP 코드를 생성하는 데 사용되는 컴퓨터에서 로그인하는 경우 공격자가 컴퓨터에 액세스하는 경우 이 접근 방식은 계정을 보호하지 않습니다.
- 1Password, Bitwarden 및 KeePass와 같은 암호 관리자도 TOTP를 지원하는 플러그인을 지원하거나 보유하는 경향이 있습니다. 여기에는 위와 동일한 제한이 있지만 이미 다른 용도로 사용하고 있다면 살펴볼 가치가 있습니다.
이중 인증을 활성화하기 위한 기본 설정 섹션의 개요.
- 위의 권한 중 하나를 보유한 프로젝트의 Special:OATH로 이동합니다(이 링크는 기본 설정에서도 사용할 수 있습니다). "(대부분의 사용자에게 이것은 메타 위키에 없을 것입니다.)"
- Special:OATH는 2단계 계정 이름과 2단계 비밀 키가 포함된 QR 코드를 제공합니다. 이것은 클라이언트를 서버와 페어링하는 데 필요합니다.
- QR 코드를 스캔하거나 2단계 계정 이름을 입력하고 TOTP 클라이언트에 키를 입력합니다.
- TOTP 클라이언트의 인증 코드를 OATH 화면에 입력하여 등록을 완료합니다.
 | 경고: 일련의 10가지 일회성 스크래치 코드도 제공됩니다. 이 페이지의 사본을 인쇄하여 안전하게 보관해야 합니다. TOTP 클라이언트를 분실했거나 문제가 있는 경우 이 코드에 접근할 수 없으면 계정이 잠깁니다. |
로그인
- 사용자 이름과 비밀번호를 입력하고 이전과 같이 제출하세요.
- TOTP 클라이언트에서 제공하는 1회용 6자리 인증 코드를 입력합니다. 참고: 이 코드는 약 30초마다 변경됩니다.
로그인 상태로 유지
로그인 시 이 옵션을 선택하면 일반적으로 동일한 브라우저를 사용할 때 인증 코드를 입력할 필요가 없습니다. 로그아웃 또는 브라우저 쿠키 지우기와 같은 작업을 수행하려면 다음 로그인 시 코드가 필요합니다.
이메일 주소 또는 비밀번호 변경과 같은 일부 보안에 민감한 작업을 수행하려면 로그인 유지 옵션을 선택한 경우에도 코드로 재인증해야 할 수 있습니다.
API 권한
OAuth 또는 봇 암호를 사용하여 API를 통해 로그인하는 경우 이중 요소 인증이 사용되지 않습니다.
OAuth 또는 봇 비밀번호를 사용하여 API 세션을 특정 작업으로 제한하는 동시에 2단계 인증을 사용하여 전체 권한을 보호할 수 있습니다. OAuth 및 봇 비밀번호는 웹사이트에 대화식으로 로그온하는 데 사용할 수 없으며 API에만 사용할 수 있습니다.
예를 들어 자동위키브라우저(AWB)와 같은 도구는 아직 이중 인증을 지원하지 않지만 봇 암호를 사용할 수 있습니다. 이를 구성하는 방법에 대한 자세한 내용은 위키백과:2FA와 AWB 사용을 참조하세요.
이중 인증 비활성화
| 이미 2FA를 활성화한 경우, 2FA 등록을 허용하는 권한을 제거해도 2FA가 비활성화되지 않습니다. 비활성화하려면 아래 절차를 따라야 합니다. |
- Special:OATH 또는 기본 설정으로 이동합니다. 더 이상 등록이 허용된 그룹에 속하지 않더라도 Special:OATH를 통해 비활성화할 수 있습니다.
- 이중 인증 비활성화 페이지에서 인증 장치를 사용하여 코드를 생성하여 절차를 완료합니다.
스크래치 코드
이중 인증에 등록할 때 10개의 일회성 스크래치 코드 목록이 제공됩니다. 2FA 장치에 접근할 수 없는 경우에 사용해야 할 수 있으므로 해당 코드를 인쇄하여 안전한 장소에 보관하세요. 이러한 각 코드는 일회용이라는 점에 유의해야 합니다; 한 번만 사용할 수 있으며 만료됩니다. 하나를 사용한 후에는 펜으로 긁거나 코드가 사용되었음을 표시할 수 있습니다. 새 코드 집합을 생성하려면 이중 인증을 비활성화했다가 다시 활성화해야 합니다.
인증 장치 없이 이중 인증 비활성화
이것은 2개의 스크래치 코드가 필요할 수 있습니다: 하나는 로그인하고 다른 하나는 비활성화합니다. 스크래치 코드를 사용해야 하는 경우 가능한 한 빨리 새로운 코드 집합을 생성하기 위해 비활성화했다가 다시 활성화하는 것이 좋습니다.
분실 또는 파손된 인증 장치 복구
단순히 올바른 코드 생성을 중지한 기존 2FA 장치가 있는 경우 해당 시계가 상당히 정확한지 확인하세요. 우리 위키의 시간 기반 OTP는 2분 차이로 실패하는 것으로 알려져 있습니다.
이중 인증에서 등록을 취소하려면 등록할 때 제공한 스크래치 코드에 접근해야 합니다. 이를 수행하려면 최대 2개의 스크래치 코드를 사용해야 합니다.
- 로그인이 필요합니다. 아직 로그인하지 않은 경우 스크래치 코드를 사용해야 합니다.
- Special:OATH를 방문하여 다른 스크래치 코드를 사용하여 이중 인증을 비활성화합니다.
스크래치 코드가 충분하지 않은 경우 ca
wikimedia.org의 신뢰 및 안전팀에 연락하여 계정에서 2FA 제거를 요청할 수 있습니다(여러분의 위키 계정에 등록된 이메일 주소를 사용하여 이메일을 보내주세요). 또한 여전히 접근 권한이 있는 경우 파브리케이터에서 작업을 생성해야 합니다. 직원에 의한 2FA 제거가 항상 허용되는 것은 아닙니다.
개발자 계정에 대한 2FA 제거 요청에 대한 지침은 위키테그:비밀번호 및 2FA 재설정#사용자용을 참조하세요.
웹 인증 방법
이 페이지의 대부분의 지침은 TOTP 방식에만 해당됩니다. WebAuthn 방법은 더 실험적이며 현재 복구 옵션이 없습니다(관련 개발자 작업 참조). WebAuthn에는 다음에서 시작한 동일한 프로젝트에서 향후 로그온을 만들어야 하는 알려진 문제가 있습니다: (추적 작업).
같이 보기
- 영어 위키백과의 다중 요소 인증 개념 및 이에 대한 위키데이터 항목
- 위키미디어의 이중 인증에 대한 알려진 버그 및 요청된 개선 사항은 파브리케이터에서 공동 작업 및 추적됩니다.
- OATHAuth는 이 기능에 사용되는 미디어위키 확장입니다.
- 위키미디어 보안 팀/중앙공지 위키용 이중 인증
- MediaWiki.org의 도움말:이중 인증